P. 1
cisco_pix

cisco_pix

|Views: 17|Likes:
Published by chechoagb

More info:

Published by: chechoagb on Sep 27, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

09/27/2011

pdf

text

original

Guía Rápida Firewalls Cisco PIX

Fabian Portantier

0/deed. visite: http://creativecommons.org/licenses/by-nc-nd/3.es_ES .Contenidos Introducción Configuración del sistema Configuración de interfaces Administración por SSH Fecha y Hora Servidor DHCP Registros (logs) SNMP Network Address Translation Control de Acceso Prevención de Intrusos Portantier Information Security 3 4 5 6 7 7 8 8 9 10 10 11 Guía Rápida Firewalls Cisco PIX Fabian Portantier 07 de Agosto de 2011 Este libro se encuentra licenciado bajo Creative Commons. Para más información de la licencia.

cisco.Introducción Esta pequeña guía es una referencia a los comandos más utilizados en los equipos PIX de Cisco. es necesario contar con un cable de consola. que contienen en un extremo un conector RJ-45 (que va conectado al PIX) y otro conector DB9 (que debe ir conectado a la estación de trabajo que va a administrar el equipo). El contenido de esta guía ha sido constatado implementando los comandos en dispositivos Cisco PIX 515e. Dista mucho de ser un manual completo. Agradecemos particularmente a Cisco (www. teniendo como objetivo recordar a los administradores cómo realizar las tareas básicas para la configuración del sistema.signus-web.com) y a Signus Consultant (www. en los cuáles se muestra cómo hacer las cosas. es posible adquirir adaptadores de USB a DB9 por una suma cercana a los 25 dólares. para la conexión inicial. si no más bien de ejemplos. El contenido de la guía se inicia teniendo en cuenta que ya se encuentra el equipo conectado.com) por haber provisto los equipos para pruebas. En el caso de que la estación de trabajo no cuente con un puerto DB9 (situación habitual en el caso de laptops).2(2). con el software 7. De no ser así. de los que se incluyen con la compra del equipo. en los cuales se basa esta guía. encendido y con una conexión existente a la consola de administración. No es una guía de mejores prácticas. .

Configuración del sistema Entrar al modo configuración: pix01> enable pix01# configure terminal Mostrar la versión del sistema: pix01# show version Borrado total de la configuración pix01(config)# write erase Guardado de la configuración pix01(config)# write Definir el nombre de host y dominio: pix01(config)# hostname pix01 pix01(config)# domain-name portantier.com Modificación de las claves de acceso Definimos la password de acceso como 'cisco' pix01 (config)# passwd cisco Definimos la password de configuración (enable) como 'cisco' pix01 (config)# enable password cisco .

0.0 10.0.0.0 0.0.0.255.2.255.0.1.0 Definición de la puerta de enlace por defecto (10.255.0 Definición de la interfaz DMZ: pix01(config)# interface Ethernet 2 pix01(config-if)# nameif if-dmz pix01(config-if)# description Interfaz DMZ pix01(config-if)# ip address 192.0.1 255.0.0.Configuración de interfaces Definición de la interfaz externa: pix01(config)# interface Ethernet 0 pix01(config-if)# nameif if-externa pix01(config-if)# description Interfaz Externa pix01(config-if)# ip address 10.168.255.1 255.255.1 255.255.254 .254): route if-externa 0.0.168.0 Definición de la interfaz interna: pix01(config)# interface Ethernet 1 pix01(config-if)# nameif if-interna pix01(config-if)# description Interfaz Interna pix01(config-if)# ip address 192.

desde linux. podemos hacer lo siguiente: ssh pix@192.1.168.255 if-interna El usuario por defecto se llama 'pix'. Por ejemplo. debemos tenerlo en cuenta al iniciar conexiones ssh.1.1 .168.0.2: pix01 (config)# ssh 192.2 255.Administración por SSH Generar claves RSA: pix01 (config)# crypto key generate rsa modulus 2048 pix01 (config)# show crypto key mypubkey rsa Permitir solamente la versión 2 de SSH: pix01 (config)# ssh version 2 Permitir el acceso SSH en la interfaz “if-interna” a la ip 10.255.0.255.

1. habilitamos la configuración: pix01(config)# dhcpd enable if-interna .100-192.65.1.com Por último.29 Servidor DHCP Con la siguiente configuración habilitamos el servidor DHCP en la interfaz “if-interna”.168.229.1.100 hasta 192.40.1.1.com”: pix01(config)# dhcpd domain portantier.11 interface ifinterna Definimos el dominio “portantier.168. utilizando el rango de direcciones desde 192.111 pix01(config)# ntp server 69.168.71.71.168.254 ifinterna Además.1 prefer pix01(config)# ntp server 67.168.168.254: pix01(config)# dhcpd address 192.187.10 y 192.1 y otros dos servidores de respaldo: pix01(config)# ntp server 38.1. definimos los servidores DNS (192.1.168.1.11): pix01(config)# dhcpd dns 192.229.10 192.Fecha y Hora Configuramos la zona horaria “BsAs” y definimos la utilización de GMT-3 : pix01(config)# clock timezone BsAs -3 Configuramos la utilización del servidor NTP 38.168.18.

168. En linux.20: pix01(config)# logging host if-interna 192.168.1.2 puede realizar consultas al equipo si utiliza la comunidad “ReadOnly-CdEvfR” y la versión 2c del protocolo SNMP: pix01(config)# snmp-server host if-interna 192.20 pix01(config)# logging enable Mostramos por consola los mensajes con nivel crítico a superior: pix01(config)# logging console critical SNMP Definimos un nombre de contacto y la ubicación del equipo: pix01(config)# snmp-server contact Fabian Portantier pix01(config)# snmp-server location OficinaCentral Definimos que el host 192.1.168.Registros (logs) Nivel Emergencia Alerta Crítico Error Advertencia Notificación Información Depuración Número 0 1 2 3 4 5 6 7 Condición Sistema inutilizable Se requieren acciones inmediatas Situación crítica Mensaje de error Mensaje de advertencia Mensajes normales Mensajes informativos Mensajes de depuración Definimos el envío de logs al servidor syslog 192.1. podríamos utilizar el siguiente comando: # snmpwalk -c ReadOnly-CdEvfR -v 2c -Os 192.168.1. podríamos consultar los valores del equipo desde el host 192.1.1. por ejemplo.2 poll community ReadOnly-CdEvfR version 2c Con esta configuración.168.1 .2.168.

0. es una buena idea utilizar el comando “clear xlate” que limpia la tabla de NAT y obliga al dispositivo a recrearla.2 443 access-list 101 permit tcp any host 192. Para ver el estado de la tabla. NOTA: Cada vez que realizamos cambios en la configuración de NAT.0 255.168.0.2 Permitir las conexiones desde internet (if-externa) hacia los puertos TCP/80 y TCP/443 de nuestro servidor 192.3 80 192.if-dmz) tcp 10.0. haciendo traducción de direcciones: static (if-externa.0.168.0.2. . ubicado en la DMZ (if-dmz).3 eq 25 NOTA: Como lo muestran los ejemplos.0.3 25 192.2.168.2 eq 80 static (if-externa.168.if-dmz) tcp 10.1.0.2.2 eq 443 Permitir las conexiones desde internet (if-externa) hacia el puerto TCP/25 de nuestro servidor 192.2 pix01(config)# nat (if-interna) 1 192.168.2 80 access-list 101 permit tcp any host 192.3 443 192. haciendo traducción de direcciones: static (if-externa. Esto nos asegura que la tabla no contenga información relacionada con viejas configuraciones.168.0.if-dmz) tcp 10.0.2. podemos utilizar el comando “show xlate”.0. debemos crear las listas de control de acceso (ACL) correspondientes para permitir las conexiones.168. además de configurar el NAT.255.0 pix01(config)# global (if-externa) 1 10.2.0.255.Network Address Translation Traducir todas las conexiones desde “if-interna” hacia “if-externa” a la dirección IP 10.3 25 access-list 101 permit tcp any host 192.2.0.168.3.168. ubicado en la DMZ (if-dmz).0.

Control de Acceso Permitir solamente las conexiones desde cualquier equipo de la interfaz “if-interna” hacia internet (“if-externa”) a través de los puertos TCP/80 y TCP/443: pix01(config)# access-list internet permit tcp any any eq 80 pix01(config)# access-list internet permit tcp any any eq 443 Una vez hecho esto. envía una alarma pix01(config)# ip audit name myaudit attack action alarm drop pix01(config)# ip audit name myaudit info action alarm Aplicamos la política a la interfaz “if-externa”: pix01(config)# ip audit interface if-externa myaudit . envía una alarma y descarta los paquetes – En caso de detectar un comportamiento que debe ser informado. asignamos esta lista de control de acceso (ACL) a la interfaz “ifinterna”: pix01(config)# access-group internet in interface if-interna Prevención de Intrusos Definimos la política de auditoría “myaudit” que toma las siguientes acciones: – En caso de detectar un ataque.

consulta o solicitud de servicios. Para más información. como auditoría.portantier.com No dude en comunicarse con nosotros por cualquier duda. recomendaciones y herramientas. Fabian Portantier .Portantier Information Security Es una consultora que nace en el año 2010. consultoría y capacitaciones. noticias. visite: www. de la mano de Fabian Portantier y tiene como objetivo principal brindar servicios exclusivos de seguridad. Estamos para ayudarle. Normalmente publicamos documentos de interés. Saludos cordiales.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->