9 abr 2014

Instalación y configuración del FW Cisco PIX con GNS3. Parte 2

Buenas a todos, en el post de hoy vamos a continuar la cadena sobre los Firewall PIX y GNS3, con el objetivo de aprender a bloquear servicios hacia y desde máquinas virtualizadas en Virtualbox. Para ello vamos a utilizar dos máquinas Windows XP, que harán las funcionalidades de servidor web (sirviendo una página web) y de cliente interno de una organización que desea acceder al sitio web de la otra máquina.
 
El escenario final que queremos conseguir es el siguiente:
 
 
 
Nuestra red consistirá en una nube (que conectará a una intefaz virtual de virtualbox en la que colocaremos un pc Windows XP con un servidor Wamp), dos hub o switches, un firewall PIX y una máquina virtual Windows XP que hará el papel de estación de trabajo interna (virtualizada con VirtualBox), y conectaremos todos los componentes con cables de red:


Para asociar la nube a la tarjeta de red virtual de nuestro winXP con WAMP, haremos doble clic sobre ella, y seleccionaremos la interfaz de virtualbox:

Ahora configuraremos la dirección IP en la máquina virtual WinXP que hará de cliente interno de la organización:


Nota: Esta máquina virtual debe tener deshabilitadas las unidades de red, ya que automáticamente GNS3 levantará la interfaz requerida.

El siguiente paso será arrancar una segunda máquina virtual XP, en la que tendremos instalado previamente un servidor WAMP. Este equipo simulará ser un servidor de Internet, al que nuestro cliente interno querrá conectarse. 


Ahora comprobaremos como ninguna de las dos máquinas pueden verse:



Para que las máquinas puedan verse debemos configurar las interfaces del Firewall y aplicar las políticas de seguridad adecuadas. Vamos a ello.

Nos conectaremos por consola al firewall PIX haciendo doble clic sobre su icono en GNS3: 
pixfirewall>enable
Password: <enter>

Ahora verificaremos que tenemos permisos para administrar el PIX:

pixfirewall# show run


pixfirewall# show memory


pixfirewall# show versión


El siguiente paso será configurar el nombre del FW y sus contraseñas:

pixfirewall# configure terminal


pixfirewall(config)# hostname ZinkFirewall


ZinkFirewall(config)# enable password zink1234


ZinkFirewall(config)# passwd zink1234


ZinkFirewall(config)# write memory


Ahora configuraremos la interface 0 del PIX (conectará el FW con el equipo externo):

ZinkFirewall(config)# interface ethernet 0
ZinkFirewall(config-if)# nameif outside
ZinkFirewall(config-if)# security-level 0
ZinkFirewall(config-if)# ip address 192.168.1.5 255.255.255.0
ZinkFirewall(config-if)# speed 100
ZinkFirewall(config-if)# no shutdown
ZinkFirewall(config-if)# exit


Finalmente comprobaremos que el Firewall tiene conectividad con la máquina que tiene el servidor WAMP:


A continuación configuraremos la interface 1 del PIX, que conectará con la red interna:

ZinkFirewall(config)# interface ethernet 1
ZinkFirewall(config-if)# nameif inside
ZinkFirewall(config-if)# security-level 100
ZinkFirewall(config-if)# ip address 172.17.1.1 255.255.255.0
ZinkFirewall(config-if)# speed 100
ZinkFirewall(config-if)# no shutdown
ZinkFirewall(config-if)# exit

Guardaremos los cambios:

ZinkFirewall(config)# write memory
ZinkFirewall(config-if)# show run

Ahora comprobaremos que el Firewall tiene conectividad con la máquina interna de la red:


Para que el PIX pueda encaminar, dado que también hace funciones de router, configuraremos una ruta estática por defecto al gateway con valor 1:

ZinkFirewall(config)# route outside 0.0.0.0 0.0.0.0 192.168.1.1 1


Ahora, si intentamos acceder desde la máquina interna al servidor WAMP de la máquina externa, deberíamos poder entrar sin problemas:

Esto es todo por hoy, el próximo día aprenderemos a configurar ACLs :)

Saludos!

No hay comentarios:

Publicar un comentario