domingo, 21 de agosto de 2011

FIREWALL EN ROUTER CISCO TRABAJANDO CON GNS3


FIREWALL: Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. 

GNS3:Es una excelente herramienta complementaria a los laboratorios de la red real para los ingenieros, administradores y personas que quieren pasar las certificaciones tales como CCNA, CCNP, CCIP, CCIE, JNCIA, JNCIS, JNCIE.También se puede utilizar para experimentar las características de Cisco IOS, JunOS Juniper o para verificar las configuraciones que es necesario implementar más adelante en los routers real. Este proyecto es un programa de código abierto y gratuito que se puede utilizar en múltiples sistemas operativos, incluyendo Windows, Linux y MacOS X.

SDM: Es una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. Noes simplemente una interfaz web. Es una herramienta java accesible a través del navegador.

  • El primer paso es abrir el GNS3 y especificar la ruta donde lo vamos aguardar 




  • Ahora vamos a crear la topologia y escojemos dos nubes que representaran la red WAN y  la red LAN y un router c3700


  • luego nos dirigimos a la configuracion de las redes priemro en la red WAN damos doble clic 


  • nos aprecera una venta donde escogeremos la tarjeta de red con la que trabajara que en este caso es la eth5 de la maquina real aplivamos los cambios y damos clic en OK 


  • ahora en ala red LAN damos doble clic 


  • Para la red LAN escogeremos la tarjeta de red del Virtual Box aplicamos los cambios y le damos clic en OK



  • La topologia nos quedara la siguiente manera


  • a hora vamos la configuración del router para ello damos clic derecho encima del router y escogemos la opción de terminal escribimos los siguientes comandos para entrar a configurarlo


  • en el siguiente paso configuraremos el interfaz 0/0 que es la de la WAN la cual se guconfigurara automáticamente por DHCP


  • Ahora se configurara la interfaz 0/1 que la interfaz de la WAN esta se le dara la direccion gateway  de la maquina cliente que es la  192.168.151.1


  • como podemos ver la direccion 192.168.10.168 esta por DHCP que es la direccion que no da la maquina real y la otra esta configurada manualmente


  • para probar si las maquinas se comunican entre si daremos ping desde el router a la direccionde la maquina cliente y como podemos ver se comunican


  • a hora crearemos un usuario con contraseña  para la administración del router desde el SDM luego configuraremos el acceso al router desde http "via web" al mismos tiempo nos autenticaremos mediante ssh y telnet 



  • la configuración de la maquina cliente debe tener la siguientes  características primero vamos a cambiar ala dirección ip de la maquina



  • le colocamos la siguiente dirección ip un dns publico.

  • en la configuracion de la tarjeta de red la cambiaremos a adaptador solo-anfitrion

  • en nustra maquina xp que es la maquina que utilizamos como cliente nos dirigimos a red


  • y cambiamos la configuración 

  • des habilitaremos el DHCP


  • a hora pasamos a la instalación del SDM y seguimos los pantallazos a continuacion


  • aceptamos los términos de instalación


  • escogemos instalarlo en este equipo



  • damos clic en instalar


  • y por ultimo en finalizar


  • ejecutamos el SDM  y no aparecerá el siguiente cuadro que nos pide una dirección ip la cual es la del gateway de nuestra maquina y la de la interfaz 0/1


  • nos autentificamos con el usuario que creamos 


  • entramos a la configuración del router en modo gráfico


  • agregaremos la regla de nateo para ello damos clic en nat escogemos nat básico


  • damos clic en siguiente


  • añadimos la regla desde la interfaz 0/0 hasta 0/1


  • damos clic en siguiente  veremos el resumen


  • y damos clic en aceptar


  • y como podemos ver ya tenemos la regla de nateo


  • el siguiente paso es verificar si la regla si se agrego adecuadamente y lo podemos hacer si tenemos acceso a internet


  • como podemos ver tenemos acceso a internet


  • a hora agregaremos la regala del firewall en este caso trabajaremos con la regla de denegar todo por defecto. damos clic en firewall  escogemos la opcion de firewall basico


  • damos clic en siguiente 


  • escogemos la interfaz externa que la 0/0 y la interfaz interna que la 0/1 y damos clic en siguiente


  • en el siguiente cuadro nos aparecera  las reglas que estan por defecto en trafico de origen y de destino




  • borremos todas la reglas que aprecen para agregar las que necesitamos


  • empezaremos con el trafico de origendamos clic en agregar


  • perimyimos los protocolos que deseemos y en este caso serán tres TCP, UDP y ICMP



  • Como podemos ver tenemos la regla agregada


  • a hora agregaremos la regla por defecto que es la denegar hay que tener en cuenta que esta regla debe ser la ultima


  • a hora agregaremos la regla de trafico de vuelta


  • en este caso permitiremos varios protocolos eje: 443 que es el https


  • y agregaremos también  en el trafico de vuelta la regla por defecto



  • las regalas deben quedar de esta manera



  • por ultimo aplicamos los cambios y damos clic en aceptar


  • regla trafico de origen permitiendo puerto 53 por el protocolo TCP


  • regla trafico de origen permitiendo puerto 53 por el protocolo UDP 


  • regla trafico de origen permitiendo puerto 21 FTP


  • regla trafico de origen permitiendo puerto 53 protocolo TCP


  • regla trafico de de vuelta  permitiendo puerto 21 ftp


  • de esta manera agregamos las reglas que necesitemos con los puertos y los protocolos
  • reglas trafico de origen 


  • regalas trafico de vuelta



  • reglas trafico de origen  como podemos ver tanto en el trafico de origen como en el de vuelta la regla por defecto es la de denegar todo


  • a hora probaremos las reglas ingresado al ftp 


  • dando ping a la maquina


  • y dando ping del router ala maquina

  • Como podemos ver las reglas implementadas en firewall fueron creadas correctamente


FIN