firewall y vpn en un router cisco en gns3 administrado desde sdm
TRANSCRIPT
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
1/59
FIREWALL Y VPN EN UN ROUTER CISCO EN GNS3 ADMINISTRADO
DESDE SDM
DANIEL PALACIO VLEZ
NETWORKINGROUP
ADMINISTRACION DE REDES
MAURICIO ORTIZ
CENTRO DE SERVICIOS Y GESTIONS EMPRESARIAL
SENA
2010
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
2/59
1. INTRODUCCION
Un firewall es un dispositivo que funciona como cortafuegos entre redes,
permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico
es situarlo entre una red local y la red Internet, como dispositivo de seguridadpara evitar que los intrusos puedan acceder a informacin confidencial.
Un firewall es simplemente un filtro que controla todas las comunicaciones que
pasan de una red a la otra y en funcin de lo que sean permite o deniega su
paso. Para permitir o denegar una comunicacin el firewall examina el tipo de
servicio al que corresponde, como pueden ser el web, el correo. Dependiendo
del servicio el firewall decide si lo permite o no.
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
3/59
2. MARCO TEORICO
FIREWALL
Un Firewall como su nombre lo dice es un "muro de fuego" este tiene la funcinde realizar un filtrado de paquetes hacia los diferentes destinos valindose dereglas configuradas a nuestro gusto. Es decir que si no queremos que a el
Equipo A le lleguen paquetes de ningn equipo, del tipo TCP con puerto deorigen 80 configuraremos dicha regla en el Firewall para que esto se filtre.
Existen varios tipos de Firewall y varias maneras de definirlos, por ahora noscentraremos en que existen Firewall de Host y Firewall de Red. Un Firewall de
Host es con el que contamos en nuestros equipos, el que viene de maneranativa en nuestro Sistema Operativo como lo son las IPTABLES en Linux o elContrafuegos de Windows y solo filtra paquetes desde y hacia nuestro equipo yun Firewall de Red es el que se puede instalar en dispositivos como routerspara filtrar todo el trafico que circule a travs de el desde y hacia las diferentessubredes.
GNS3
Los routers son dispositivos costosos y al ser una practica de laboratoriocontamos con herramientas libres como GNS3 para emular un router, segn
Wikipedia GNS3 es un "simulador grfico de red que te permite diseartopologas de red complejas y poner en marcha simulaciones sobre ellos".
Para permitir completar simulaciones, GNS3 est estrechamente vinculadacon:Dynamips, un emulador de IOS que permite a los usuarios ejecutar binariosimgenes IOS de Cisco Systems. Dynagen, un front-end basado en texto paraDynamips Qemu, un emulador de PIX.GNS3 es una excelente herramientacomplementaria a los verdaderos laboratorios para los administradores deredes de Cisco o las personas que quieren pasar sus CCNA, CCNP, CCIEDAC o certificaciones.
En si GNS3 es un software diseado para emular realmente una topologia dered completa como si tuvieras en realidad un router, enrutando paquetes desdetus maquinas virtuales de VirtualBox hacia Internet u otras subredes segn loque quieras disear.
SDM
Muchas personas no estn familiarizadas con los comandos de los routersCisco y los entiendo por que para mi tambin fue difcil en los primeros aospero para dichas personas existen soluciones como esta, el cual es un softwarediseado para simplificarnos la vida al utilizar una interfaz grfica de JAVA para
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
4/59
administrar va WEB los routers Cisco sin tener que aprendernos todos loscomandos que deberamos ejecutar.
VIRTUALBOX
Este es muy conocido, es un emulador de maquinas o de sistemas operativos,es como tener varios PC dentro de tu PC.
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
5/59
CONFIGURACION
Procedemos a asignarle una ip estatica a nuestra (LAN) que es por dondeadministraremos nuestro router
Nuestra interfaz WAN la asignaremos DHCP
Para que funcione el SDM se debe configurar el acceso HTTP y HTTPS
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
6/59
Para la autenticacin local y permitir entrada SSH Y TELNET
Procedemos a crearle un usuario y una contrasea a nuestro router, para poderadministrarlo
Empezamos con la instalacin, es totalmente grafica y sencilla, elegimos que la
instalacin va hacer local
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
7/59
Procedemos a instalarlo
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
8/59
A instalado correctamente, finalizamos
Asi es como nos aparece en el escritorio, lo ejecutaremos dndole doble clic
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
9/59
Para poder administrar nuestro router elegimos nuestra interfaces f0/1
Nos logueremos con el usuario y la contrasea que le creamos al router
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
10/59
Le damos que permita todas las ventanas emergentes para poder entrar a
administrar nuestro router
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
11/59
Esta es la pagina de inicio de administracin, nos abrir otra ventana
Nos autenticamos en java, con el mismo usuario y contrasea del router
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
12/59
Este es el inicio del SDM
Vamos a la pestaa de configurar y crearemos una regla de NAT
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
13/59
Siguiente
Elegimos nuestra interfaz LAN
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
14/59
Finalizamos
Ya empezaremos a crear las reglas del Firewall, le indicamos que es un firewall
bsico e iniciamos la tarea seleccionada
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
15/59
Seleccionamos la interfaz externa (WAN) y la (LAN) como la interfaz fiable
Nos muestra un resumen de la configuracin y finalizamos
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
16/59
Empezaremos a crear las reglas de origen, recordemos que este firewall
trabaja con esteyles
En la pestaa de agregar y agregar una nueva regla
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
17/59
Empezaremos a crear la regla, donde la accin en nuestro caso ser permitir
porque estamos trabajando con la regla de denegar por defecto, el host de
origen ser nuestra (LAN) y que vaya hacia cualquier destino, el protocolo en
nuestro caso como es un WEB sera TCP
El puerto de origen ser cualquiera y el de destino ser nuestro servicio (WEB)
Ya que nuestro servicio (WEB) esta publicado en la (WAN) y aceptamos
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
18/59
Agregamos otra regla que vaya despus de esta, Recordemos que el orden de
las reglas afecta mucho
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
19/59
Agregaremos la Regla del DNS, Tambin tenemos que crear otra regla del
DNS por que tambin trabaja por el protocolo UDP
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
20/59
Y Aplicamos la Regla de denegar por defecto, donde el origen ser nuestra red
que vaya hacia cualquier destino, por el protocolo TCP, por cualquier servicio
origen y de destino
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
21/59
Tambien denegaremos por el protocolo UDP
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
22/59
Estas reglas son las esenciales para salir a internet, donde tenemos (HTTP,
DNS) y denegar por defecto para mayor seguridad
Procedemos agregar las reglas de trafico de vuelta
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
23/59
Agregaremos la regla de (HTTP) donde la accin ser permitir, donde el origen
ser desde cualquier ip y la de destino sera nuestra (LAN), por el protocolo tcp
y el puerto de origen ser (WWW) y de destino cualquiera
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
24/59
Agregamos la regla del DNS, TCP Y UDP
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
25/59
Y aplicaremos la regla de denegar por defecto, tanto TCP como UDP
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
26/59
Podemos ver como quedaron nuestras reglas de trfico de vuelta
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
27/59
VPN
Vamos a la pestaa de configurar y crearemos una regla de NAT
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
28/59
Siguiente
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
29/59
Elegimos nuestra interfaz LAN
Finalizamos
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
30/59
Para configurar el tnel VPN vamos a la pestaa Configurar, VPN, VPN Sitio a
Sitio, Iniciar la tarea seleccionada
Elegimos el modo de configuracin del tnel VPN, lo haremos por pasos para
que sea mas sencillo y nos muestre ms detalladamente los parmetros
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
31/59
Ingresamos la interfaz que ser configurada como el primer extremo del tnel
VPN, el direccionamiento y la IP del otro tnel y el tipo de autenticacin que
usara el tnel que ser llaves precompartidas
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
32/59
Especificamos el algoritmo de cifrado y el tipo de autenticacin
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
33/59
Damos agregar para agregar un conjunto de transformacin
Agregamos el conjunto de transformacin
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
34/59
Especificamos el trfico a proteger, en este caso vamos a proteger todo el
trfico en los dos extremos.
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
35/59
El resumen de la configuracin, verificamos si la informacin es correcta,
recordemos que este procedimiento lo aplicamos en los 2 routers
Aplicando todos los comandos realizados
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
36/59
Ahora probaremos el funcin del tnel VPN
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
37/59
Un alerta del SDM que permitir todas las depuraciones del router
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
38/59
Especificamos una IP de destino hacia la cual generar el trafico de prueba
del tnel
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
39/59
El tnel VPN est activo
Probamos dndole un ping (ICMP) de router a router y podemos ver que es
exitoso
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
40/59
Tambin hacemos una captura del trafico con wireshark con cualquier
protocolo ya sea un ping una peticin web y el protocolo a y deber aparecer el
protocolo ESP
CONFIGURACION DE UNA VPN ROAD WARRIOR
Con esta topologa es la que trabajaremos
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
41/59
Colocamos la interfaz por DHCP para que podamos tener internet por esa
interfaz
Nos dirigimos a la pestaa Configurar, VPN, Servidor Easy VPN, Iniciar el
asistente para servidores Easy VPN
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
42/59
Activamos el servicio AAA
Aplicando todos los comandos
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
43/59
Y el servicio AAA se ha activado correctamente
Comenzamos el asistente para configurar la VPN
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
44/59
Especificamos la interfaz que estar a la escucha de las peticiones por parte de
los clientes VPN y el modo de autenticacin que es en mi caso ser claves
precompartidas
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
45/59
Especificamos el tipo de algoritmo que vamos a utilizar
Agregamos la poltica del IKE, el cifrado ser 3DES y el hash ser SHA_1 el
tipo de autenticacin y el grupo
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
46/59
Damos siguiente
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
47/59
Especificamos el conjunto de transformaciones
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
48/59
Especificamos donde estarn las polticas de grupos
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
49/59
Habilitamos la autenticacin de usuarios y que solamente sea local
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
50/59
Agregamos las polticas de grupo de usuarios y autorizacin de grupos
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
51/59
Especificamos el nombre del grupo de usuarios, la clave precompartida, el
rango de direcciones que les asignaremos a los usuarios que se conecten y el
nmero mximo de conexiones permitidas
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
52/59
Configuramos el temporizador de inactividad que es cunto tiempo va a estar
activo el tnel VPN
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
53/59
El resumen de la configuracin, verificamos que todo este correcto y
finalizamos
Aplicando los cambios realizados
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
54/59
Ahora probaremos el tnel VPN
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
55/59
Los detalles del tnel y le damos iniciar
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
56/59
El tnel VPN a finalizado correctamente
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
57/59
Ahora con un software que me permita conectarme a una VPN en mi caso
estoy utilize (VPN-CLIENT) con un cliente en internet, le damos nuevo
Nombre de conexin y al host que nos vamos a conectar el nombre y la clave
precompartida
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
58/59
Conection, pode ver la direccin del host y el trasport IPSEC/UDP
La autenticacin contra el servidor VPN
-
8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm
59/59
Y Podemos ver que el adaptador 3 nos muestra el rango de la vpn que le
asignamos, y si probamos con un PING entre casa router son exitosos