Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm

8/3/2019 Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm

1/59

FIREWALL Y VPN EN UN ROUTER CISCO EN GNS3 ADMINISTRADO

DESDE SDM

DANIEL PALACIO VLEZ

NETWORKINGROUP

ADMINISTRACION DE REDES

MAURICIO ORTIZ

CENTRO DE SERVICIOS Y GESTIONS EMPRESARIAL

SENA

2010


2/59

1. INTRODUCCION

Un firewall es un dispositivo que funciona como cortafuegos entre redes,

permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico

es situarlo entre una red local y la red Internet, como dispositivo de seguridadpara evitar que los intrusos puedan acceder a informacin confidencial.

Un firewall es simplemente un filtro que controla todas las comunicaciones que

pasan de una red a la otra y en funcin de lo que sean permite o deniega su

paso. Para permitir o denegar una comunicacin el firewall examina el tipo de

servicio al que corresponde, como pueden ser el web, el correo. Dependiendo

del servicio el firewall decide si lo permite o no.


3/59

2. MARCO TEORICO

FIREWALL

Un Firewall como su nombre lo dice es un "muro de fuego" este tiene la funcinde realizar un filtrado de paquetes hacia los diferentes destinos valindose dereglas configuradas a nuestro gusto. Es decir que si no queremos que a el

Equipo A le lleguen paquetes de ningn equipo, del tipo TCP con puerto deorigen 80 configuraremos dicha regla en el Firewall para que esto se filtre.

Existen varios tipos de Firewall y varias maneras de definirlos, por ahora noscentraremos en que existen Firewall de Host y Firewall de Red. Un Firewall de

Host es con el que contamos en nuestros equipos, el que viene de maneranativa en nuestro Sistema Operativo como lo son las IPTABLES en Linux o elContrafuegos de Windows y solo filtra paquetes desde y hacia nuestro equipo yun Firewall de Red es el que se puede instalar en dispositivos como routerspara filtrar todo el trafico que circule a travs de el desde y hacia las diferentessubredes.

GNS3

Los routers son dispositivos costosos y al ser una practica de laboratoriocontamos con herramientas libres como GNS3 para emular un router, segn

Wikipedia GNS3 es un "simulador grfico de red que te permite diseartopologas de red complejas y poner en marcha simulaciones sobre ellos".

Para permitir completar simulaciones, GNS3 est estrechamente vinculadacon:Dynamips, un emulador de IOS que permite a los usuarios ejecutar binariosimgenes IOS de Cisco Systems. Dynagen, un front-end basado en texto paraDynamips Qemu, un emulador de PIX.GNS3 es una excelente herramientacomplementaria a los verdaderos laboratorios para los administradores deredes de Cisco o las personas que quieren pasar sus CCNA, CCNP, CCIEDAC o certificaciones.

En si GNS3 es un software diseado para emular realmente una topologia dered completa como si tuvieras en realidad un router, enrutando paquetes desdetus maquinas virtuales de VirtualBox hacia Internet u otras subredes segn loque quieras disear.

SDM

Muchas personas no estn familiarizadas con los comandos de los routersCisco y los entiendo por que para mi tambin fue difcil en los primeros aospero para dichas personas existen soluciones como esta, el cual es un softwarediseado para simplificarnos la vida al utilizar una interfaz grfica de JAVA para


4/59

administrar va WEB los routers Cisco sin tener que aprendernos todos loscomandos que deberamos ejecutar.

VIRTUALBOX

Este es muy conocido, es un emulador de maquinas o de sistemas operativos,es como tener varios PC dentro de tu PC.


5/59

CONFIGURACION

Procedemos a asignarle una ip estatica a nuestra (LAN) que es por dondeadministraremos nuestro router

Nuestra interfaz WAN la asignaremos DHCP

Para que funcione el SDM se debe configurar el acceso HTTP y HTTPS


6/59

Para la autenticacin local y permitir entrada SSH Y TELNET

Procedemos a crearle un usuario y una contrasea a nuestro router, para poderadministrarlo

Empezamos con la instalacin, es totalmente grafica y sencilla, elegimos que la

instalacin va hacer local


7/59

Procedemos a instalarlo


8/59

A instalado correctamente, finalizamos

Asi es como nos aparece en el escritorio, lo ejecutaremos dndole doble clic


9/59

Para poder administrar nuestro router elegimos nuestra interfaces f0/1

Nos logueremos con el usuario y la contrasea que le creamos al router


10/59

Le damos que permita todas las ventanas emergentes para poder entrar a

administrar nuestro router


11/59

Esta es la pagina de inicio de administracin, nos abrir otra ventana

Nos autenticamos en java, con el mismo usuario y contrasea del router


12/59

Este es el inicio del SDM

Vamos a la pestaa de configurar y crearemos una regla de NAT


13/59

Siguiente

Elegimos nuestra interfaz LAN


14/59

Finalizamos

Ya empezaremos a crear las reglas del Firewall, le indicamos que es un firewall

bsico e iniciamos la tarea seleccionada


15/59

Seleccionamos la interfaz externa (WAN) y la (LAN) como la interfaz fiable

Nos muestra un resumen de la configuracin y finalizamos


16/59

Empezaremos a crear las reglas de origen, recordemos que este firewall

trabaja con esteyles

En la pestaa de agregar y agregar una nueva regla


17/59

Empezaremos a crear la regla, donde la accin en nuestro caso ser permitir

porque estamos trabajando con la regla de denegar por defecto, el host de

origen ser nuestra (LAN) y que vaya hacia cualquier destino, el protocolo en

nuestro caso como es un WEB sera TCP

El puerto de origen ser cualquiera y el de destino ser nuestro servicio (WEB)

Ya que nuestro servicio (WEB) esta publicado en la (WAN) y aceptamos


18/59

Agregamos otra regla que vaya despus de esta, Recordemos que el orden de

las reglas afecta mucho


19/59

Agregaremos la Regla del DNS, Tambin tenemos que crear otra regla del

DNS por que tambin trabaja por el protocolo UDP


20/59

Y Aplicamos la Regla de denegar por defecto, donde el origen ser nuestra red

que vaya hacia cualquier destino, por el protocolo TCP, por cualquier servicio

origen y de destino


21/59

Tambien denegaremos por el protocolo UDP


22/59

Estas reglas son las esenciales para salir a internet, donde tenemos (HTTP,

DNS) y denegar por defecto para mayor seguridad

Procedemos agregar las reglas de trafico de vuelta


23/59

Agregaremos la regla de (HTTP) donde la accin ser permitir, donde el origen

ser desde cualquier ip y la de destino sera nuestra (LAN), por el protocolo tcp

y el puerto de origen ser (WWW) y de destino cualquiera


24/59

Agregamos la regla del DNS, TCP Y UDP


25/59

Y aplicaremos la regla de denegar por defecto, tanto TCP como UDP


26/59

Podemos ver como quedaron nuestras reglas de trfico de vuelta


27/59

VPN

Vamos a la pestaa de configurar y crearemos una regla de NAT


28/59

Siguiente


29/59

Elegimos nuestra interfaz LAN

Finalizamos


30/59

Para configurar el tnel VPN vamos a la pestaa Configurar, VPN, VPN Sitio a

Sitio, Iniciar la tarea seleccionada

Elegimos el modo de configuracin del tnel VPN, lo haremos por pasos para

que sea mas sencillo y nos muestre ms detalladamente los parmetros


31/59

Ingresamos la interfaz que ser configurada como el primer extremo del tnel

VPN, el direccionamiento y la IP del otro tnel y el tipo de autenticacin que

usara el tnel que ser llaves precompartidas


32/59

Especificamos el algoritmo de cifrado y el tipo de autenticacin


33/59

Damos agregar para agregar un conjunto de transformacin

Agregamos el conjunto de transformacin


34/59

Especificamos el trfico a proteger, en este caso vamos a proteger todo el

trfico en los dos extremos.


35/59

El resumen de la configuracin, verificamos si la informacin es correcta,

recordemos que este procedimiento lo aplicamos en los 2 routers

Aplicando todos los comandos realizados


36/59

Ahora probaremos el funcin del tnel VPN


37/59

Un alerta del SDM que permitir todas las depuraciones del router


38/59

Especificamos una IP de destino hacia la cual generar el trafico de prueba

del tnel


39/59

El tnel VPN est activo

Probamos dndole un ping (ICMP) de router a router y podemos ver que es

exitoso


40/59

Tambin hacemos una captura del trafico con wireshark con cualquier

protocolo ya sea un ping una peticin web y el protocolo a y deber aparecer el

protocolo ESP

CONFIGURACION DE UNA VPN ROAD WARRIOR

Con esta topologa es la que trabajaremos


41/59

Colocamos la interfaz por DHCP para que podamos tener internet por esa

interfaz

Nos dirigimos a la pestaa Configurar, VPN, Servidor Easy VPN, Iniciar el

asistente para servidores Easy VPN


42/59

Activamos el servicio AAA

Aplicando todos los comandos


43/59

Y el servicio AAA se ha activado correctamente

Comenzamos el asistente para configurar la VPN


44/59

Especificamos la interfaz que estar a la escucha de las peticiones por parte de

los clientes VPN y el modo de autenticacin que es en mi caso ser claves

precompartidas


45/59

Especificamos el tipo de algoritmo que vamos a utilizar

Agregamos la poltica del IKE, el cifrado ser 3DES y el hash ser SHA_1 el

tipo de autenticacin y el grupo


46/59

Damos siguiente


47/59

Especificamos el conjunto de transformaciones


48/59

Especificamos donde estarn las polticas de grupos


49/59

Habilitamos la autenticacin de usuarios y que solamente sea local


50/59

Agregamos las polticas de grupo de usuarios y autorizacin de grupos


51/59

Especificamos el nombre del grupo de usuarios, la clave precompartida, el

rango de direcciones que les asignaremos a los usuarios que se conecten y el

nmero mximo de conexiones permitidas


52/59

Configuramos el temporizador de inactividad que es cunto tiempo va a estar

activo el tnel VPN


53/59

El resumen de la configuracin, verificamos que todo este correcto y

finalizamos

Aplicando los cambios realizados


54/59

Ahora probaremos el tnel VPN


55/59

Los detalles del tnel y le damos iniciar


56/59

El tnel VPN a finalizado correctamente


57/59

Ahora con un software que me permita conectarme a una VPN en mi caso

estoy utilize (VPN-CLIENT) con un cliente en internet, le damos nuevo

Nombre de conexin y al host que nos vamos a conectar el nombre y la clave

precompartida


58/59

Conection, pode ver la direccin del host y el trasport IPSEC/UDP

La autenticacin contra el servidor VPN


59/59

Y Podemos ver que el adaptador 3 nos muestra el rango de la vpn que le

asignamos, y si probamos con un PING entre casa router son exitosos

Documents

Firewall y VPN en Un Router Cisco en Gns3 Administrado Desde Sdm