Está en la página 1de 19

Seguridad de la red

Diseño del plan de seguridad de la información


Fase 2 – Firewall común en router Cisco

GRUPO “MiNdWiDe”
JUAN ALEJANDRO BEDOYA
JOSE DE ARLEX DOMINGUEZ
NEIFER ERNEY GIRALDO
JHON FREDY HERRERA
YOJAN LEANDRO USME

ADMINISTRACION DE REDES INFORMATICAS

Mauricio Ortiz

CENTRO DE SERVICIO Y GESTION EMPRESARIAL


SENA (MEDELLIN)
2010
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

INDICE

Introducción ......................................................................................................................... 3
Objetivo ............................................................................................................................... 4
Tabla de direccionamiento .................................................................................................... 6
Realización de la configuración básica en los dispositivos ........................................................................ 7
En R1...................................................................................................................................................... 7
En R2...................................................................................................................................................... 8
Configuración del direccionamiento planteado en la tabla de direccionamiento..................................... 9
En R1...................................................................................................................................................... 9
En R2...................................................................................................................................................... 9
Configuración PPP con autenticación CHAP ............................................................................................ 10
En R1.................................................................................................................................................... 10
En R2.................................................................................................................................................... 10
Rutas estáticas para la internetwork ....................................................................................................... 10
En R1.................................................................................................................................................... 10
En R2.................................................................................................................................................... 10
Tabla de enrutamiento de R1 .............................................................................................................. 11
Tabla de enrutamiento de R2 .............................................................................................................. 11
Show interface s0/0............................................................................................................................. 12
Permitir la salida de todos los host de la LAN .......................................................................................... 13
EN R1 (router de frontera) .................................................................................................................. 13
Show ip nat translations ...................................................................................................................... 13
Configurando Firewall en R1 (router de frontera) ................................................................................... 14
Descripción .......................................................................................................................................... 14
Regla 1 ..................................................................................................................................................... 15
En R1 (router frontera) ........................................................................................................................ 15
Regla 2 ..................................................................................................................................................... 16
En r1 (router frontera) ......................................................................................................................... 16
Regla 3 ..................................................................................................................................................... 17
En R1.................................................................................................................................................... 17

Conclusiones....................................................................................................................... 18
Bibliografía ......................................................................................................................... 18

MiNdWiDe - Group 2
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Introducción

La seguridad en las redes de datos de las compañías se ha vuelto un elemento muy importante
para la realización de las tareas cotidianas, ya que cada vez manejamos información sensible para
nosotros y por ello necesitamos confidencialidad y privacidad. Por eso muchas veces escuchamos
hablar de firewalls.

Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para
bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se
trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, las características de cifrado y descifrado se permiten en un firewall agregando
funcionalidades al mismo convirtiéndose así en una solución más robusta y efectiva. Esta serie de
atributos o comportamientos se aplican al tráfico tanto entrante como saliente entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

MiNdWiDe - Group 3
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Objetivo

Realizar la implementación de un firewall básico en dispositivos cisco, lo realizaremos con un


router Cisco 3940. Para llevar a cabo esta tarea nos apoyaremos en el emulador de IOS GNS3 –
Dynamics y Vmware Workstation, el cual no permitirá realizar dicha tarea. Y así obtener un
conocimiento sobre cómo realizar dicha implementación.

MiNdWiDe - Group 4
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Tabla de direccionamiento

Mascara de Gateway
Dispositivo Interfaz Direccion IP
subred predeterminada
S0/0 208.67.222.1 255.255.255.252 NO APLICABLE
R1
Fa1/0 172.16.100.254 255.255.255.0 NO APLICABLE
S0/0 208.67.222.2 255.255.255.252 NO APLICABLE
R2
Fa1/0 10.10.0.254 255.255.255.0 NO APLICABLE
SVR-HTTP-SSH-
NIC 172.16.100.253 255.255.255.0 172.16.100.254
01
SVR-FTP-SSH-01 NIC 172.16.100.252 255.255.255.0 172.16.100.254

MiNdWiDe - Group 6
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Realización de la configuración básica en los dispositivos

En R1

enable
configure t
line console 0
logging synchronous
exec-timeout 0 0
history size 30
password cisco
login
exit
line vty 0 4
password cisco
login
logging synchronous
exec-timeout 0 0
history size 30
exit
enable secret class
banner motd &
!!!! SOLO PERSONAL AUTORIZADO !!!!
&
hostname R1
end
cop r s

MiNdWiDe - Group 7
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

En R2
enable
configure t
line console 0
logging synchronous
exec-timeout 0 0
history size 30
password cisco
login
exit
line vty 0 4
password cisco
login
logging synchronous
exec-timeout 0 0
history size 30
exit
enable secret class
banner motd &
!!!! SOLO PERSONAL AUTORIZADO !!!!
&
hostname R2
end
cop r s

MiNdWiDe - Group 8
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Configuración del direccionamiento planteado en la tabla de direccionamiento

En R1

R1(config)#interface s0/0
R1(config-if)#ip address 208.67.222.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#clock rate 64000
R1(config-if)#description LINK TO R2
R1(config-if)#exit

R1(config)#interface fa1/0
R1(config-if)#ip address 172.16.100.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#description LAN_LOCAL
R1(config-if)#exit

En R2

R2(config)#interface s0/0
R2(config-if)#ip address 208.67.222.2 255.255.255.252
R2(config-if)#no shutdown
R1(config-if)#description LINK TO R2
R2(config-if)#exit

R2(config)#interface fa1/0
R2(config-if)#ip address 10.10.0.254 255.255.255.0
R1(config-if)#no shutdown
R2(config-if)#description LAN_LOCAL
R2(config-if)#exit

MiNdWiDe - Group 9
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Configuración PPP con autenticación CHAP

En R1

R1(config)#interface s0/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
R1(config-if)#ppp chap password cisco123
R1(config-if)#exit
R1(config)#username R2 password cisco123

En R2

R2(config)#interface s0/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
R2(config-if)#ppp chap password cisco123
R2(config-if)#exit
R2(config)#username R1 password cisco123

Rutas estáticas para la internetwork

En R1

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0

En R2

R2(config)#ip route 172.16.100.0 255.255.255.0 s0/0


R2(config)#ip route 198.0.0.0 255.255.255.252 s0/0

Nota: se debe especificar la ruta 198.0.0.0/30 en la tabla de enrutamiento de R2 ya que todo


origen proveniente de la red privada 172.16.100.0/24 será enmascarado con el rango de ips
globales especificadas en el router R1.

MiNdWiDe - Group 10
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Tabla de enrutamiento de R1

Tabla de enrutamiento de R2

MiNdWiDe - Group 11
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Show interface s0/0


R2#show interfaces s0/0
Serial0/0 is up, line protocol is up
Hardware is M4T
Description: LINK TO R1
Internet address is 208.67.222.2/30
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, crc 16, loopback not set
Keepalive set (10 sec)
Restart-Delay is 0 secs
LCP Open
Open: IPCP, CDPCP
Last input 00:00:03, output 00:00:03, output hang never
Last clearing of "show interface" counters 00:15:37
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
220 packets input, 10171 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
217 packets output, 10600 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up

MiNdWiDe - Group 12
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Permitir la salida de todos los host de la LAN

EN R1 (router de frontera)

R1(config)#ip access-list standard ACL_CLIENTES


R1(config-std-nacl)#permit 172.16.100.0 0.0.0.255
R1(config-std-nacl)#deny any

R1(config)#ip nat pool POOL_GLOBAL 198.0.0.1 198.0.0.2 netmask 255.255.255.252

R1(config)#ip nat inside source list ACL_CLIENTES pool POOL_GLOBAL overload

R1(config)#interface s0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#interface f1/0
R1(config-if)#ip nat inside

Show ip nat translations


R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 198.0.0.1:4900 172.16.100.254:4900 208.67.222.2:4900 208.67.222.2:4900
icmp 198.0.0.1:4901 172.16.100.254:4901 208.67.222.2:4901 208.67.222.2:4901
icmp 198.0.0.1:4902 172.16.100.254:4902 208.67.222.2:4902 208.67.222.2:4902
icmp 198.0.0.1:4903 172.16.100.254:4903 208.67.222.2:4903 208.67.222.2:4903
icmp 198.0.0.1:4904 172.16.100.254:4904 208.67.222.2:4904 208.67.222.2:4904

MiNdWiDe - Group 13
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Configurando Firewall en R1 (router de frontera)

Descripción
La LAN_LOCAL tiene publicado para el exterior los siguientes servicios de red:

 FTP.
 HTTP.
 SSH.

El servidor de nombre SVR-FTP-SSH-01 ejecuta los servicios de FTP y SSH sobre la plataforma Linux
(CentOS 5.4), con una dirección IPv4 172.16.100.252/24.

El servidor de nombre SVR-HTTP-SSH-01 ejecuta los servicios de HTTP y SSH sobre la plataforma
Linux (CentOS 5.4), con una dirección IPv4 172.16.100.253/24.

Teniendo esto claro procederemos a configurar nuestras políticas.

MiNdWiDe - Group 14
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Regla 1

Permitir que solo los host de la LAN_LOCAL puedan tener acceso a internet y no otra red.

En R1 (router frontera)

R1(config)#ip access-list extended LAN_LOCAL


R1(config-ext-nacl)#permit ip 172.16.100.0 0.0.0.255 any log
R1(config-ext-nacl)#deny ip any any log
R1(config-ext-nacl)#exit

R1(config)#interface fa1/0
R1(config-if)#ip access-group LAN_LOCAL in

Nota: bueno el comando al final log es muy útil ya que si por algún motivo queremos o tenemos
montado un servidor de syslog en nuestra red, podemos hacerle un seguimiento a las políticas
implementadas en los routers de una forma centralizada y por supuesto cómoda.

R1#
01:20:09: %SEC-6-IPACCESSLOGP: list LAN_LOCAL denied udp 192.168.10.48(0) -> 192
.168.10.255(0), 2 packets

MiNdWiDe - Group 15
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Regla 2

Publicación de los servicios de red para poder acceder desde Internet.

En r1 (router frontera)

R1(config)#ip nat inside source static tcp 172.16.100.252 21 interface s0/0 21


R1(config)#ip nat inside source static tcp 172.16.100.252 20 interface s0/0 20
R1(config)#ip nat inside source static tcp 172.16.100.252 22 interface s0/0 22

R1(config)#ip nat inside source static tcp 172.16.100.253 80 interface s0/0 80


R1(config)#ip nat inside source static tcp 172.16.100.253 222 interface s0/0 222

Nota: Bueno en esta pequeña sección definimos o mejor publicamos a internet los servicios de
nuestra LAN_LOCAL como lo especificamos anteriormente FTP, HTTP y SSH.

Adicionalmente modificamos uno de los puertos en SVR-HTTP-SSH-01 ya que el puerto 22 ya es


utilizado por SVR-FTP-SSH-01 entonces tuvimos que poner a escuchar a el demonio de SSH en el
puerto 222 (Esto para poder diferenciar el trafico de SSH entre los dos servidores de SSH).

MiNdWiDe - Group 16
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Regla 3

Ahora que ya hemos publicado los servicios procederemos a permitir conexiones desde internet
solo esos servicios.

En R1

R1(config)#ip access-list extended SERVICIOS_LAN


R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 80 log
R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 21 log
R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 22 log
R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 222 log
R1(config-ext-nacl)#permit tcp any 172.16.100.0 0.0.0.255 established log
R1(config-ext-nacl)#deny icmp any any log
R1(config-ext-nacl)#deny ip any any log
R1(config)#interface s0/0
R1(config-if)#ip access-group SERVICIOS_LAN in

Nota: Con estas reglas finales estaremos primero que todo definiendo el acceso a los servicios que
hemos publicado, y denegamos todo otro tipo de tráfico que se intente establecer desde el
internet.

MiNdWiDe - Group 17
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Conclusiones

Su implementación es fácil de realizar ya que dispone de muchas fuentes de información tanto de


la página del fabricante como de comunidades dedicadas a soluciones cisco.

Flexibilidad a la hora de crear un entorno de prueba ya que hay herramientas que permiten la
simulación de este tipo de soluciones.

Este tipo de implementaciones requieren de gastos significativos para una entidad.

Bibliografía

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5
b9a.shtml

http://www.cisco.com/en/US/tech/tk713/tk507/technologies_configuration_example09186a0080
094333.shtml

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_q_and_a_item09186a00800e523b.
shtml

http://www.gns3.net/

MiNdWiDe - Group 18
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Gracias…
Juan Alejandro Bedoya

Jose De Arlex Dominguez

Neifer Erney Giraldo

Jhon Fredy Herrera

Yojan Leandro Usme

MiNdWiDe - Group 19