firewall sistema de control sobre puertos de un sistema, genera un nivel de confianza, se permiten accesos determinados a usuarios externos como internos. al igual que se determinan servicios.
con este cortafuegos podemos proteger, llamado también seguridad perimetral.
hardware, software, información esto podemos proteger.
Estableceremos dos zonas una LAN y otra internet, crearemos un acces list en el firewall que permita el trafico proveniente de internet. esto solo para 3 protocolos, y 5 puertos. lo demás servicios y puertos estarán denegados. al igual de la LAN deben salir paquetes a la red.
primero debemos tener un direccionamiento ip para nuestra LAN y las interfaces seriales, una ip privada en la LAN y la otra ip publica de router a router
utilizaremos la herramienta packet tracer para realizar primero allí las
antes miremos bien que son las acces list y como es su función en general
ACL: listas de control de acceso son instrucciones que se aplican a una interfaz del router en ellas se le indica al router que paquetes debe de aceptar y cuales rechazar estas tienen unas especificaciones como dirección origen, puertos, dirección destino. entre otras, el paquete que pase por la interfaz debe cumplir con las condiciones dada en cada interfaz.
las listas se pueden crear para todos los protocolos erutados de red como el IP protocolo de internet, el IPX intercambio de paquetes internetwork se genera un filtro de paquetes en los routers con dichas listas.
las ACL controlan el trafico en una dirección por vez, en una interfaz se necesita creas una ACL por separado para cada dirección. tanto para trafico entrante como saliente.
las ACL controlan el trafico en una dirección por vez, en una interfaz se necesita creas una ACL por separado para cada dirección. tanto para trafico entrante como saliente.
las sentencias de las ACL operan en orden secuencial lógico. las ACL se crean en modo configuración global.
existen dos tipos de ACL estándar y extendidas. miremos de que se trata.
ACL estándar: esta lista de acceso se aplica cerca del destino. su sintaxis de creación es la siguiente. recuerda estar en modo de configuración global dentro del router.
el access-list es el comando para iniciar la creación de la lista.
num_ACL: numero que identifica el acces list (1-99)
deny /permit : deniega o permite los paquetes provenientes de la fuente.
fuente: IP correspondiente al origen, puede ser un host, o una red.
wilcard_fuente:mascara de verificación.
ahora veamos como aplicar X lista en una interfaz.
las sentencias ACL que se identifican con acces-list están relacionadas a una o mas interfaces.
Protocolo: IP
acces-group: comando de vinculación ACL a la interfaz
num_ACL : el numero que le asignamos a dicha lista (1-99)
in / out: establece la lista para salir o ingresar.
ACL extendida: se aplica cerca al origen.
access-list : comando para crear la lista
num_ACL: numero único identificador (100-199)
permit / deny: deniega o permite paquetes de fuente a destino.
protocol: protocolo del paquete, puede ser IP, UDP, IGRP, ICMP, TCP
Fuente:dirección IP del origen junto con su wildcard
destino: dirección IP del destino junto con su wildcard.
oper: lt (less than), gt (greater than), eq (equal), neq (non equal)
port: numero de puerto que identifica el servicio.
Para vincular el acces-list extendida, lo hacemos igual que la estandar, solo que alli varia el num_ACL van del 100 al 199.
Como eliminar una ACL.
2: numero de la acces-list a eliminar este numero varia.
QUE ES LA WILDCARD Y COMO SE OBTIENE.
Es una mascara diseñada para filtrar direcciones IP individuales o múltiples su fin permitir o rechazar accesos a recursos.
esta mascara se obtiene al restar la mascara de subred de 255.255.255.255
teniendo una mascara de subred 255.255.240.0
ahora veamos como aplicar X lista en una interfaz.
las sentencias ACL que se identifican con acces-list están relacionadas a una o mas interfaces.
Protocolo: IP
acces-group: comando de vinculación ACL a la interfaz
num_ACL : el numero que le asignamos a dicha lista (1-99)
in / out: establece la lista para salir o ingresar.
ACL extendida: se aplica cerca al origen.
access-list : comando para crear la lista
num_ACL: numero único identificador (100-199)
permit / deny: deniega o permite paquetes de fuente a destino.
protocol: protocolo del paquete, puede ser IP, UDP, IGRP, ICMP, TCP
Fuente:dirección IP del origen junto con su wildcard
destino: dirección IP del destino junto con su wildcard.
oper: lt (less than), gt (greater than), eq (equal), neq (non equal)
port: numero de puerto que identifica el servicio.
Para vincular el acces-list extendida, lo hacemos igual que la estandar, solo que alli varia el num_ACL van del 100 al 199.
Como eliminar una ACL.
2: numero de la acces-list a eliminar este numero varia.
QUE ES LA WILDCARD Y COMO SE OBTIENE.
Es una mascara diseñada para filtrar direcciones IP individuales o múltiples su fin permitir o rechazar accesos a recursos.
esta mascara se obtiene al restar la mascara de subred de 255.255.255.255
teniendo una mascara de subred 255.255.240.0
NOTA: teniendo los conocimientos previos de son las ACL, la wildcard, nos enfocaremos en la actividad planteada un poco mas arriba, subrayado el texto en fondo naranjado.
lo siguiente es asignar las direcciones IP en cada una de las interfaces y tener arriba el sistema que se puedan dar ping de la LAN a Internet.
el router llamado ISP recordemos que le pertenece a nuestro proveedor, el pC en internet debe tener una IP publica, pero para efectos de estudio utilizaremos una IP clase B , una publica entre los dos routers, y en la LAN una Clase C.
en nuestro router FIREWALL. configuraremos, ACL. NAT, ruta por defecto entre otras cosas.
.dentro del router ingresamos hasta el modo configuración global y allí crearemos una ACL estándar que permitirá el ingreso desde internet a nuestra servidor y LAN.
para permitir solo tres protocolos y 5 puertos utilizaremos ACL extendida, pero antes utilizaremos el NAT estático para indicar la dirección del servidor. por una ip publica puedo ingresar a un servidor, si requiero ingresar a mas servicios requeriría mas ip publicas en la NAT para acceder a los servicios.
CONFIGURACIÓN NAT Y ACL
Primero debemos tener conectividad,
funcionando perfectamente. Ahora necesitamos que los usuarios de
nuestra LAN puedan salir a internet, allí es donde entra en función
la NAT.
En un router que llamaremos router
de borde configuraremos primero una ACL que pueda permitir a toda la
LAN o solo a unos PC específicos salir a red. Para ello debemos
tener mucho cuidado a la hora de crear nuestra ACL , ya que esta la
relacionaros mas adelante con la NAT.
La NAT permite coger de una pool de IP pública que dispondremos en el router, para que se realice un
cambio de IP privadas usadas internamente por la pública que nos
permite navegar.
la figura anterior nos muestra la creación de la access-list, ahora crearemos la NAT.
primer paso.
Ip
nat pool actividad
200.18.18.2 200.18.18.2
255.255.255.252
Lo de amarillo: es el comando para
crear cualquier NAT, es indispensable
De verde: es el nombre que
asignaremos a esa NAT
Azul claro: es el rango de
direcciones publicas con las que contamos, en este caso será solo
una IP publica y por último la máscara color violeta de esa
dirección.
segundo paso.
asociar la lista con el pool de la NAT.
Ip nat inside
source list
18 pool actividad overload
En amarillo comando para relacionar ACL con NAT
En verde numero de la ACL estándar
que no permite pasar paquetes.
pool actividad: como lo dice el nombre de la NAT que acabamos de crear.
Overload: es utilizado cuando solo
tenemos un IP publica y necesitamos que 5 o mas PC desde la LAN
tenga conexión a internet. Se conoce como NAT con sobrecarga. PAT
(Port Address
Translation).
tercer paso.indicar que en las interfaces del router de salida y entrada del NAT
Ingresamos a las interfaces, según
la imagen debería ser de la siguiente manera.
Router(config)#
interface fa0/0
Router(config-if)#
ip nat inside
Router(config)#
interface fa0/1
Router(config-if)#
ip nat outside
En
nuestro caso solo contamos con dos router y solo configuramos el de
firewall ya que el otro le pertence a nuestro proveedor. Con lo
anterior terminamos el NAT pero nos falta erutar nuestros router. Acá colocaremos una ruta por defecto
La
ruta por defecto se realiza en configuración global teniendo en
cuenta nuestro figura.
Router(config)#
ip
route
0.0.0.0
0.0.0.0
200.18.18.1
Rojo:
comando iniciar rute defecto
Verde
opaco: net destino 0.0.0.0 no conocemos la ip del destino
Verde
fofore: mascara. Aca es 0.0.0.0 ya que no delimitamos
Amarillo
ip siguiente salto o nombre de la interfaz
Todo se vería así en el router
configurado , ruta defecto. NAT, e interfaces de entrada y salida NAT.
en configuración privilegiada con show runing-config observamos las configuraciones con las que contamos en el router. con lo anterior tenemos acceso de la LAN a internet.
ahora necesitamos que desde afuera se acceder a nuestros servicios internos, o servidor como tal, para ello utilizaremos NAT estático.
Router(config)# ip nat inside source static 192.168.28.8 200.18.18.2.
recordar 192.168.28.8 es la dirección de nuestro serviodr en red interna. por lo que es necesario colocar la ip publica 200.18.18.2 esta direccion es la que utilizaremos para acceder al servicio.
recordar 192.168.28.8 es la dirección de nuestro serviodr en red interna. por lo que es necesario colocar la ip publica 200.18.18.2 esta direccion es la que utilizaremos para acceder al servicio.
ingresamos en la url la IP publica. hasta este punto un equipo de internet ingresara a nuestro servidor.ahora crearemos una ACL extendida para permitir el acceder a ciertos servicios (protocolo).
CREACIÓN ACL EXTENDIDA.
firewall(config)#access-list 148 permit icmp any any
#access-list 148 permit tcp any 192.168.28.8 0.0.0.0 eq 80
#access-list 148 permit tcp any 192.168.28.8 0.0.0.0 eq 23
#access-list 148 deny tcp any any neq telnet
#access-list 148 permit udp any 192.168.28.8 0.0.0.0 eq 25
#access-list 148 permit udp any 192.168.28.8 0.0.0.0 domain
#access-list 148 permit ip any any.
esta lista de acceso extendida se realiza para permitir ingresar desde internet a nuestro servidor pero solo a ciertos servicios, también se deniega el ingreso vía Telnet a nuestro Router con el Firewall de todas partes.
la asocio a una interfaz para que por esta se se cumplan las funciones
