Coniguración cisco pix
Páginas: 21 (5061 palabras)
Publicado: 14 de septiembre de 2010
PRÁCTICA: Configuración básica de un cortafuegos (cortafuegos PIX 515E de Cisco Systems)
Autor: Santiago Felici
1.- Objetivo
En esta práctica vamos a introducir la configuración de un cortafuegos comercial, concretamente de Cisco Systems, llamado PIX (Private Internet eXchange). Durante el desarrollo de la práctica configuraremos sus interfaces y definiremos niveles de seguridad (inside,dmz, outside), habilitando NAT (Network Address Traslation) entre ellos. Analizaremos las conexiones permitidas según los niveles de seguridad y realizaremos reglas específicas, mediante listas de acceso para permitir/denegar cierto tráfico.
2.- Introducción
La seguridad perimetral es una de las piezas clave de la política de seguridad de una empresa. Es uno de los elementos de seguridad máscríticos de una empresa cuando se conecta a Internet y por regla general es implementada en cortafuegos o “firewall”, un dispositivo hardware capaz de analizar todas las conexiones entrantes/salientes simultáneamente. Su configuración debe ser acorde según la política de seguridad definida. Además, dado que sobre este dispositivo se analizan las reglas de seguridad, en ocasiones se puede convertiren el cuello de botella, situación que hay que evitar. El PIX analiza y registra las conexiones entrantes y salientes implementando NAT. Con esta técnica, al PIX se le permite en todo momento tener control de las conexiones establecidas y rechazar conexiones no permitidas. El PIX define niveles de seguridad o zonas de seguridad, que en el caso de la presente práctica son tres: inside, dmz,outside, las cuales quedan asociadas con niveles 100, 50 y 0 respectivamente. La regla que aplica el PIX por defecto es: “no se puede pasar de nivel de seguridad menor a uno mayor”. En base a esto, vamos a desarrollar toda la práctica.
Figura 1. Esquema de la maqueta donde se define dos zonas Intranet e Internet, separadas por un cortafuegos con 3 niveles de seguridad definidos (Inside, DMZ, Outside)conectando al exterior (Internet) por un router. Además, los PIX permiten la configuración de listas de acceso, de forma similar a los routers. En el caso de tener configuradas listas de acceso, el PIX ignora los niveles de seguridad preestablecidos entre zonas, para el tráfico comprobado por las listas de acceso.
1
Además, estas listas de acceso se pueden crear de forma transparente alusuario, es decir los PIX implementan un mecanismo automático de listas de acceso para permitir tráfico de entrada cuando se genera tráfico de salida, acorde con los patrones del tráfico de salida, es decir que si generamos conexiones http de salida, no podemos tener tráfico ftp de entrada. Por tanto una vez permitido el tráfico de vuelta, puede pasar sin problema de un nivel de menor seguridad auno de mayor. Este mecanismo se implementa de forma automática en los PIX y se conoce como CBACs “Context Based Access”. Este mecanismo propietario de Cisco Systems sólo funciona en caso de establecimiento de conexiones y/o pseudoconexiones, como TCP/UDP respectivamente, pero no para ICMP. Por tanto, si generemos tráfico TCP/UDP por ejemplo de “inside” a “outside”, CBACs de forma automática creay/o genera permisos (como listas de acceso temporales), para permitir tráfico de “outside” a “inside”, respetando que el tráfico sea asociada a la misma conexión.
3.- Realización de la práctica
Los siguientes pasos se han de realizar de forma coordinada por todas las parejas. Previamente, se supone que el alumno debe estar familiarizado con la práctica o haberse leído este documento. Al finalde la práctica, en el ANEXO II, se muestra la configuración final que debe tener el PIX. Esta configuración será utilizada en prácticas posteriores. Los pasos a realizar en esta práctica son: Paso 0: cableado de la maqueta En primer lugar comprobar la conectividad física de toda la maqueta tal como indica en la figura 1. Los equipos que la componen son un router genérico de Cisco Systems y un...
Autor: Santiago Felici
1.- Objetivo
En esta práctica vamos a introducir la configuración de un cortafuegos comercial, concretamente de Cisco Systems, llamado PIX (Private Internet eXchange). Durante el desarrollo de la práctica configuraremos sus interfaces y definiremos niveles de seguridad (inside,dmz, outside), habilitando NAT (Network Address Traslation) entre ellos. Analizaremos las conexiones permitidas según los niveles de seguridad y realizaremos reglas específicas, mediante listas de acceso para permitir/denegar cierto tráfico.
2.- Introducción
La seguridad perimetral es una de las piezas clave de la política de seguridad de una empresa. Es uno de los elementos de seguridad máscríticos de una empresa cuando se conecta a Internet y por regla general es implementada en cortafuegos o “firewall”, un dispositivo hardware capaz de analizar todas las conexiones entrantes/salientes simultáneamente. Su configuración debe ser acorde según la política de seguridad definida. Además, dado que sobre este dispositivo se analizan las reglas de seguridad, en ocasiones se puede convertiren el cuello de botella, situación que hay que evitar. El PIX analiza y registra las conexiones entrantes y salientes implementando NAT. Con esta técnica, al PIX se le permite en todo momento tener control de las conexiones establecidas y rechazar conexiones no permitidas. El PIX define niveles de seguridad o zonas de seguridad, que en el caso de la presente práctica son tres: inside, dmz,outside, las cuales quedan asociadas con niveles 100, 50 y 0 respectivamente. La regla que aplica el PIX por defecto es: “no se puede pasar de nivel de seguridad menor a uno mayor”. En base a esto, vamos a desarrollar toda la práctica.
Figura 1. Esquema de la maqueta donde se define dos zonas Intranet e Internet, separadas por un cortafuegos con 3 niveles de seguridad definidos (Inside, DMZ, Outside)conectando al exterior (Internet) por un router. Además, los PIX permiten la configuración de listas de acceso, de forma similar a los routers. En el caso de tener configuradas listas de acceso, el PIX ignora los niveles de seguridad preestablecidos entre zonas, para el tráfico comprobado por las listas de acceso.
1
Además, estas listas de acceso se pueden crear de forma transparente alusuario, es decir los PIX implementan un mecanismo automático de listas de acceso para permitir tráfico de entrada cuando se genera tráfico de salida, acorde con los patrones del tráfico de salida, es decir que si generamos conexiones http de salida, no podemos tener tráfico ftp de entrada. Por tanto una vez permitido el tráfico de vuelta, puede pasar sin problema de un nivel de menor seguridad auno de mayor. Este mecanismo se implementa de forma automática en los PIX y se conoce como CBACs “Context Based Access”. Este mecanismo propietario de Cisco Systems sólo funciona en caso de establecimiento de conexiones y/o pseudoconexiones, como TCP/UDP respectivamente, pero no para ICMP. Por tanto, si generemos tráfico TCP/UDP por ejemplo de “inside” a “outside”, CBACs de forma automática creay/o genera permisos (como listas de acceso temporales), para permitir tráfico de “outside” a “inside”, respetando que el tráfico sea asociada a la misma conexión.
3.- Realización de la práctica
Los siguientes pasos se han de realizar de forma coordinada por todas las parejas. Previamente, se supone que el alumno debe estar familiarizado con la práctica o haberse leído este documento. Al finalde la práctica, en el ANEXO II, se muestra la configuración final que debe tener el PIX. Esta configuración será utilizada en prácticas posteriores. Los pasos a realizar en esta práctica son: Paso 0: cableado de la maqueta En primer lugar comprobar la conectividad física de toda la maqueta tal como indica en la figura 1. Los equipos que la componen son un router genérico de Cisco Systems y un...
Leer documento completo
Regístrate para leer el documento completo.