Buenas a todos, en el post de hoy vamos a continuar la cadena sobre los Firewall PIX y GNS3, con el objetivo
de
aprender a bloquear
servicios hacia y desde máquinas virtualizadas en Virtualbox. Para ello vamos a utilizar dos máquinas Windows XP, que harán las funcionalidades de servidor web (sirviendo una página web) y de cliente interno de una organización que desea acceder al sitio web de la otra máquina.
El escenario final que queremos conseguir es el siguiente:
Nuestra red consistirá en una
nube (que conectará a una intefaz virtual de virtualbox en la que colocaremos
un pc Windows XP con un servidor Wamp), dos hub o switches, un firewall PIX y
una máquina virtual Windows XP que hará el papel de estación de trabajo interna
(virtualizada con VirtualBox), y conectaremos todos los componentes con cables
de red:
Para asociar la nube a la tarjeta
de red virtual de nuestro winXP con WAMP, haremos doble clic sobre ella, y
seleccionaremos la interfaz de virtualbox:
Ahora configuraremos la dirección
IP en la máquina virtual WinXP que hará de cliente interno de la organización:
Nota: Esta máquina virtual debe tener deshabilitadas las unidades
de red, ya que automáticamente GNS3 levantará la interfaz requerida.
El siguiente paso será arrancar
una segunda máquina virtual XP, en la que tendremos instalado previamente un
servidor WAMP. Este equipo simulará ser un servidor de Internet, al que nuestro
cliente interno querrá conectarse.
Ahora comprobaremos como ninguna
de las dos máquinas pueden verse:
Para que las máquinas puedan verse debemos configurar las
interfaces del Firewall y aplicar las políticas de seguridad adecuadas. Vamos a
ello.
Nos conectaremos por consola al firewall PIX haciendo doble
clic sobre su icono en GNS3:
pixfirewall>enable
Password: <enter>
Ahora verificaremos que tenemos permisos para administrar el
PIX:
pixfirewall# show run
pixfirewall# show
memory
pixfirewall# show versión
El siguiente paso será configurar el nombre del FW y sus contraseñas:
pixfirewall# configure
terminal
pixfirewall(config)#
hostname ZinkFirewall
ZinkFirewall(config)#
enable password zink1234
ZinkFirewall(config)#
passwd zink1234
ZinkFirewall(config)# write memory
Ahora configuraremos la interface 0 del PIX (conectará el FW con el equipo
externo):
ZinkFirewall(config)# interface
ethernet 0
ZinkFirewall(config-if)#
nameif outside
ZinkFirewall(config-if)#
security-level 0
ZinkFirewall(config-if)#
ip address 192.168.1.5 255.255.255.0
ZinkFirewall(config-if)#
speed 100
ZinkFirewall(config-if)#
no shutdown
ZinkFirewall(config-if)# exit
Finalmente comprobaremos que el Firewall tiene
conectividad con la máquina que tiene el servidor WAMP:
A continuación configuraremos la interface 1 del PIX, que conectará con
la red interna:
ZinkFirewall(config)# interface
ethernet 1
ZinkFirewall(config-if)#
nameif inside
ZinkFirewall(config-if)#
security-level 100
ZinkFirewall(config-if)#
ip address 172.17.1.1 255.255.255.0
ZinkFirewall(config-if)#
speed 100
ZinkFirewall(config-if)#
no shutdown
ZinkFirewall(config-if)# exit
Guardaremos los cambios:
ZinkFirewall(config)# write memory
ZinkFirewall(config-if)#
show run
Ahora comprobaremos que el Firewall tiene
conectividad con la máquina interna de la red:
Para que el PIX pueda encaminar, dado que también
hace funciones de router, configuraremos una ruta estática por defecto al gateway
con valor 1:
ZinkFirewall(config)# route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
Ahora, si intentamos acceder
desde la máquina interna al servidor WAMP de la máquina externa, deberíamos
poder entrar sin problemas:
Esto es todo por hoy, el próximo día aprenderemos a configurar ACLs :)
Saludos!