Clase: 12
y 19 de Mayo del 2010 Instructor: Ernesto Vilarrasa
Escenario:
Simulamos una red con cuatro conexiones a Internet con cuatro proveedores
distintos, todos convergen en el switch pero en distintas VLAN.
Los
firewall estaban configurados:
Nombre Inside Outside
Telmex 190.0.0.1 200.0.0.1
Telefónica 200.42.0.1 200.0.0.2
Arnet 200.45.0.1 200.0.0.3
Iplan 200.69.0.1 200.0.0.4
Server 200.0.0.10
Verificación
inicial para configurar el Firewall:
Al menos dos ( 2 ) interfaces deben estar UP y con sus respectivas IP configuradas.
Configuración
a travez del asistente:
1) Firewall and ACL -> Basic Firewall -> Launch…
2) Definimos que interfaces pasticiparán y cómo se conectarán
( si lleváramos esta pantalla
a línea de comandos, sería: )
interface FastEthernet0/0
description
$FW_INSIDE$
ip address
190.0.0.1 255.255.255.0
zone-member
security in-zone
!
interface FastEthernet1/0
description
$ETH-LAN$$FW_OUTSIDE$
ip address
200.0.0.1 255.255.255.248
zone-member
security out-zone
3) En el
siguiente paso deberemos decidir:
High Security
- The router identifies inbound and
outbound Instant Messaging and Peer-to-Peer traffic and drops it.
- The router checks inbound and outbound HTTP
traffic and e-mail traffic for protocol compliance,
and
drops noncompliant traffic.
- Returns traffic for other TCP and
UDP applications if the session was initiated inside the firewall.
- Choose this option if you want to prevent use
of these applications on the network.
Medium Security:
- The router identifies inbound and outbound
Instant Messaging and Peer-to-Peer traffic, and checks inbound
and outbound HTTP traffic and e-mail traffic
for protocol compliance.
- Returns TCP and UDP traffic on sessions initiated
inside the firewall.
-Choose this option if you want to track use of
these applications on the network.
Low Security:
-
The
router does not identify application-specific traffic. Returns TCP and UDP
traffic on sessions initiated
inside
the firewall.
- Choose this option if you do not need to
track use of these applications on the network.
Verificamos a travez de la CLI: para seguir una secuencia de la configuración,
se utilizaron números ejemplo:(10) buscar su igual para asociarlo.
Firewall#sh run
Building configuration...
Current configuration : 3046 bytes
---resumido---
!
hostname Firewall
!
username admin privilege 15 secret 5 $1$Z0.1$kY7
!
! Definimos clases
de tráfico a inspeccionar ( pueden ser varias )
!
class-map type inspect match-any sdm-cls-insp-traffic (12)
match
protocol cuseeme nombre de la clase
match protocol dns
match protocol
ftp
match protocol
h323
match protocol
https
match protocol
icmp
match protocol
imap
match protocol
pop3
match protocol
netshow
match protocol
shell
match protocol
realmedia
match protocol
rtsp
match protocol
smtp extended
match protocol
sql-net
match protocol
streamworks
match protocol
tftp
match protocol
vdolive
match protocol
tcp
match protocol
udp
class-map type inspect match-all sdm-insp-traffic (2)
match
class-map sdm-cls-insp-traffic (12)
class-map type inspect match-any SDM-Voice-permit (4)
match protocol
h323
match protocol
skinny
match protocol
sip
class-map type inspect match-any sdm-cls-icmp-access (11) atención: match-any
match protocol
icmp
class-map type inspect match-all sdm-invalid-src (1)
match
access-group 100 asocia la ACL 100
class-map type inspect match-all sdm-icmp-access (5) atención: match-all
match
class-map sdm-cls-icmp-access (11)
class-map type inspect match-all sdm-protocol-http (3)
match protocol
http
!
! definimos
políticas y le aplicamos clases
!
policy-map type inspect sdm-permit-icmpreply
(6)
class type
inspect sdm-icmp-access (5)
inspect
class
class-default
pass
policy-map type inspect sdm-inspect
(7)
class type
inspect sdm-invalid-src (1)
drop
log definimos la acción ( drop y enviar un syslog )
class type inspect sdm-insp-traffic
(2)
inspect
class type
inspect sdm-protocol-http (3)
inspect
class type
inspect SDM-Voice-permit (4)
inspect
class
class-default
pass
policy-map type inspect sdm-permit
(8)
class
class-default
drop log
!
! aquí aparecen
zonas definidas
!
zone security out-zone (9)
zone security in-zone (10)
!
! aquí estan
definidos los pares de zonas ( de donde a donde )
!
zone-pair security sdm-zp-self-out
source self destination out-zone (router->internet)
service-policy
type inspect sdm-permit-icmpreply (6)
zone-pair security sdm-zp-out-self
source out-zone destination self (internet->router)
service-policy
type inspect sdm-permit (8)
zone-pair security sdm-zp-in-out
source in-zone destination out-zone(red
local->internet)
service-policy
type inspect sdm-inspect (7)
!
!
configuramos las interfaces
!
interface FastEthernet0/0
description $FW_INSIDE$
ip address
190.0.0.1 255.255.255.0
zone-member
security in-zone (10)
!
interface FastEthernet1/0
description
$ETH-LAN$$FW_OUTSIDE$
ip address
200.0.0.1 255.255.255.248
zone-member
security out-zone (9)
!
ip http server
!
! ACL asociada
a la clase de tráfico sdm-invalid-src
¡
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 200.0.0.0 0.0.0.7 any
!
end
Ejemplo de configuración de
una nueva política de seguridad:
El tráfico ICMP desde Internet, puede ingresar a la red local, específicamente a un host en particular.
!
! creamos una ACL
para matchear el tráfico deseado
!
access-list 101 permit icmp any host 190.0.0.10 permite ICMP desde internet a un host
!
!
determinamos que tráfico vamos a inspeccionar
!
class-map type inspect match-all icmp-access
match
access-group 101 asocia la ACL 101
!
! lo
aplicamos a una nueva política
!
policy-map type inspect icmp-internet
class type
inspect icmp-access
pass
log deja pasar el tráfico y lo razonable es que deje
un log -à(14) ver verificación)
!
! Creamos
un nuevo par de zonas y aplicamos esta nueva politica:
!
zone-pair security sdm-zp-out-in
source out-zone destination in-zone(internet->
red local)
service-policy
type inspect icmp-internet
!
Verificación: Una vez comprobado el tráfico saliente navegegando en el IIS del Win2K3 (http://200.0.0.10) generamos
tráfico ICMP desde Internet hacia el interior del perímetro (zona segura), por defecto, esto no debería atravezar el
Firewall, pero ahora que “abrimos” un conducto para permitirlo, debemos verificar la cantidad de tráfico que ingresa.(14)
En el servidor de Syslog (
firewall 2 ):
En el servidor de Syslog ( firewall 4 ):
En el SDM ( firewall 2 ):
Y desde donde generamos el tráfico: el server desde Internet,en este caso, sólo un
Firewall ( el 4to ) tenía la configuración aplicada, hacia los host del interior del perímetro.
(2010) Talking about computers does not meet funny girls
Rosario,
Argentina
.