WAN : Dispositivos de seguridad Cisco PIX de la serie 500

Cisco Secure PIX Firewall con el ejemplo de configuración de dos Routers

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Interactivo: Este documento ofrece un análisis personalizado de su dispositivo Cisco.


Contenido


Introducción

Este ejemplo de configuración demuestra cómo proteger una red con una combinación de routers y un firewall Cisco Secure PIX. Existen tres niveles de defensa (dos routers y el firewall de PIX) y un registro de configuración para un servidor syslog para ayudar a la identificación de ataques potenciales de seguridad.

Nota: Este documento no cubre los problemas tales como selección de contraseña y otras formas de Seguridad que sean necesarias proteger con éxito su red contra el ataque.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en la versión 5.3.1 y posteriores del software PIX.

Nota: Los comandos usados en el otro software de las versiones de pix varían levemente. Refiera a la documentación sobre PIX antes de que usted implemente esta configuración.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

Este documento utiliza esta configuración de red:

/image/gif/paws/15244/new_20.gif

Configuraciones

La primera configuración es para el PIX Firewall, porque las configuraciones del router deben entenderse en relación con el escudo de protección.

Si tiene el resultado de un comando write terminal desde su dispositivo de Cisco, puede utilizar la herramienta Output Interpreter (sólo para clientes registrados) para mostrar los problemas potenciales y sus soluciones.

En este documento, se utilizan estas configuraciones:

Firewall PIX

!--- Sets the outside address of the PIX Firewall:

ip address outside 131.1.23.2 

!--- Sets the inside address of the PIX Firewall:

ip address inside 10.10.254.1

!--- Sets the global pool for hosts inside the firewall:

global (outside) 1 131.1.23.12-131.1.23.254

!--- Allows hosts in the 10.0.0.0 network to be
!--- translated through the PIX:

nat (inside) 1 10.0.0.0 

!--- Configures a static translation for an admin workstation 
!--- with local address 10.14.8.50:

static (inside,outside) 131.1.23.11 10.14.8.50

!--- Allows syslog packets to pass through the PIX from RTRA.
!--- You can use conduits OR access-lists to permit traffic.
!--- Conduits has been added to show the use of the command,
!--- however they are commented in the document, since the 
!--- recommendation is to use access-list.
!--- To the admin workstation (syslog server):
!--- Using conduit: 
!--- conduit permit udp host 131.1.23.11 eq 514 host 131.1.23.1 



!--- Using access-list:

Access-list 101 permit udp host 131.1.23.1 host 131.1.23.11 255.255.255.0 eq 514
Access-group 101 in interface outside

!--- Permits incoming mail connections to 131.1.23.10:

static (inside, outside) 131.1.23.10 10.10.254.3

!--- Using conduits
!--- conduit permit TCP host 131.1.23.10 eq smtp any
!--- Using Access-lists, we use access-list 101
!--- which is already applied to interface outside.

Access-list 101 permit tcp any host 131.1.23.10 eq smtp

!--- PIX needs static routes or the use of routing protocols
!--- to know about networks not directly connected.
!--- Add a route to network 10.14.8.x/24.

route inside 10.14.8.0 255.255.255.0 10.10.254.2

!--- Add a default route to the rest of the traffic 
!--- that goes to the internet.

Route outside 0.0.0.0 0.0.0.0 131.1.23.1

!--- Enables the Mail Guard feature 
!--- to accept only seven SMTP commands 
!--- HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT:
!--- (This can be turned off to permit ESMTP by negating with 
!--- the no fixup protocol smtp 25 command):

fixup protocol smtp 25

!--- Allows Telnet from the inside workstation at 10.14.8.50 
!--- into the inside interface of the PIX:

telnet 10.14.8.50

!--- Turns on logging:

logging on

!--- Turns on the logging facility 20:

logging facility 20

!--- Turns on logging level 7:

logging history 7

!--- Turns on the logging on the inside interface:

logging host inside 10.14.8.50

Nota: El RTRA es el router exterior del blindaje. Debe blindar el firewall PIX de los ataques dirigidos, proteger servidor HTTP/FTP, y actuar como sistema de alarma. Si cualquier persona se rompe en el RTRA, el administrador de sistema debe ser notificado inmediatamente.

RTRA
no service tcp small-servers 

!--- Prevents some attacks against the router itself.

logging trap debugging

!--- Forces the router to send a message 
!--- to the syslog server for each and every
!--- event on the router. This includes packets denied 
!--- access through access lists and
!--- configuration changes. This acts as an early warning system to the system
!--- administrator that someone is trying to break in, or has broken in and is
!--- trying to create a "hole" in their firewall.

logging 131.1.23.11

!--- The router logs all events to this 
!--- host, which in this case is the 
!--- "outside" or "translated" address of the system 
!--- administrator's workstation.

enable secret xxxxxxxxxxx
!
interface Ethernet 0
 ip address 131.1.23.1 255.255.255.0
!
interface Serial 0
 ip unnumbered ethernet 0
 ip access-group 110 in 

!--- Shields the PIX Firewall and the HTTP/FTP 
!--- server from attacks and guards 
!--- against spoofing attacks.

!
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

!--- RTRA and the PIX Firewall. 
!--- This is to prevent spoofing attacks.

access-list 110 deny ip any host 131.1.23.2 log

!--- Prevents direct attacks against the 
!--- outside interface of the PIX Firewall and
!--- logs any attempts to connect to the  
!--- outside interface of the PIX to the syslog server.

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established 

!--- Permits packets which are part 
!--- of an established TCP session.

access-list 110 permit tcp any host 131.1.23.3 eq ftp 

!--- Allows FTP connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq ftp-data

!--- Allows ftp-data connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq www

!--- Allows HTTP connections into the FTP/HTTP server.

access-list 110 deny ip any host 131.1.23.3 log

!--- Disallows all other connections to 
!--- the FTP/HTTP server, and logs any attempt
!--- to connect this server to the syslog server.

access-list 110 permit ip any 131.1.23.0 0.0.0.255

!--- Permits other traffic destined to the 
!--- network between the PIX Firewall and RTRA.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 131.1.23.11

!--- Permits only the workstation of the administrator
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few 
!--- entries as possible.

Nota: El RTRB es el interior que blinda al router. Es la última línea de defensa en su escudo de protección y el punto de ingreso a su red interna.

Si tiene el resultado de un comando show running-configuration de su dispositivo Cisco, puede usar Output Interpreter (sólo para clientes registrados) para mostrar los problemas posibles y sus soluciones.

RTRB
logging trap debugging
logging 10.14.8.50

!--- Log all activity on this router to the 
!--- syslog server on the administrator's 
!--- workstation, including configuration changes.

!
interface Ethernet 0
 ip address 10.10.254.2 255.255.255.0
 no ip proxy-arp
 ip access-group 110 in

!--- Prevents inside and outside addresses 
!--- from mingling; guards against attacks 
!--- launched from the PIX Firewall or the 
!--- SMTP server as much as possible.

!
access-list 110 permit udp host 10.10.250.5 0.0.0.255

!--- Permits syslog messages destined 
!--- to the administrator's workstation.

access-list 110 deny ip host 10.10.254.1 any log

!--- Denies any other packets sourced 
!--- from the PIX Firewall.

access-list 110 permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp

!--- Permits SMTP mail connections from the 
!--- mail host to internal mail servers.

access-list 110 deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

!--- Denies all other traffic sourced 
!--- from the mail server.

access-list 110 deny ip 10.10.250.0 0.0.0.255 any

!--- Prevents spoofing of trusted addresses 
!--- on the internal network.

access-list 110 permit ip 10.10.254.0 0.0.0.255 10.10.250.0 0.255.255.255

!--- Permits all other traffic sourced from  
!--- the network between the PIX Firewall and RTRB.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 10.14.8.50

!--- Permits only the workstation of the administrator 
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few entries as possible.

!--- A static route or routing protocol must be utilized
!--- to make the router aware of network 10.14.8.x (which is 
!--- inside the corporate network). This is because 
!--- it is not a directly connected network. 

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Conceptos

El propósito de los Firewall es prevenir la entrada no autorizada en su red mientras que permite el tráfico deseado al mismo tiempo. Probablemente sea más sencillo comenzar con un análisis sobre cuál sería el objetivo de un ingreso ilegal y luego, considerar cómo hacer para dificultar el ingreso de un criminal potencial a su red. Suponga, en la situación descrita en este documento, que el criminal tenía un servidor en la mente que contuvo la información secreta que estaría de mucho valor a sus competidores. La dirección IP de este servidor, el criminal ha aprendido, es 10.100.100.10.

Inmediatamente, el criminal se encuentra con un grave problema: la dirección IP del servidor es un direccionamiento que no se puede alcanzar sobre Internet, como ninguna organización asociado a los paquetes de Internet adelante a una dirección destino de la red 10. Esto fuerza al criminal a cualquier tentativa de descubrir qué direccionamiento traduce éste en a Internet (un administrador de sistema elegante nunca dejó este direccionamiento ser traducido sobre Internet), o rotura directamente en su red para obtener un “campamento base” de cuál para atacar el servidor que contiene los datos vulnerables. Asuma que el criminal no puede encontrar ninguna manera de atacar el servidor directamente, y así que comienzo para atacar su red para atacar el servidor dentro de su red.

El primer obstáculo que encuentra el criminal es la primera "zona desmilitarizada" (DMZ) que se encuentra entre RTRA y el firewall PIX. El criminal puede intentar romperse en el RTRA, pero configuran al router para validar solamente las conexiones del puesto de trabajo del administrador, y a los bloqueares paquete que aparecen ser originados del DMZ sí mismo. Si el criminal pudiera ingresar a RTRA, sólo podrá encontrarse en posición de atacar el propio escudo de protección PIX - no lograría ingresar a la red y aún no podría atacar al host directamente con material sensible.

El criminal podría también intentar romperse en servidor HTTP/FTP, para el cual está una posibilidad que se mirará. Este host debe ser tan seguro como sea posible contra tales ataques. Si el atacante ingresó exitosamente al servidor FTP/HTTP, no estaría en posición de atacar directamente al host con los datos vulnerables, pero estaría en posición de atacar directamente al firewall PIX. En cualquiera de los casos, las actividades del criminal deben registrarse en algún punto del proceso de avance, para que se avise al administrador del sistema sobre la presencia de un intruso.

Si el agresor no logró ingresar a la DMZ externa, estaría en condiciones de atacar el escudo de protección PIX y un poco más; por lo tanto, el segundo DMZ, o interno, se convierte en el siguiente objetivo. Él puede alcanzar esta meta con un ataque en el firewall PIX sí mismo, o un ataque en el RTRB, que se programa para validar a las sesiones telnets solamente del puesto de trabajo del administrador de sistema otra vez. De nuevo, sus tentativas de romperse en el DMZ interno son registradas por el firewall PIX y el RTRB, así que el administrador de sistema debe tener cierta advertencia y poder parar el ataque antes de que el atacante consiga a la punta donde él puede atacar al servidor sensible directamente.

El atacante también podría pasar por alto al router DMZ e intentar ingresar en el DMZ interno atacando al host de correo. Este host está protegido por un PIX Firewall y debería protegerse con un control y una configuración cuidadosos. Éste es el host más vulnerable de todo el firewall.

El concepto es proporcionar varias capas de defensa bastante que una pared “fuerte” estupenda. Las piezas deben interconectarse en una estructura de escudo de protección sólida que sea lo suficientemente flexible para permitir el tráfico necesario, pero asimismo proporcione numerosas alarmas y sistemas de advertencia temprana.

Protocolos de red cuyo uso no se recomienda con un firewall

Debido a su naturaleza inherentemente insegura, algunos protocolos de red no son apropiados para ejecutarse a través de Firewalls desde redes no confiables a redes confiables. Algunos ejemplos de estos protocolos no seguros son:

  • NFS

  • rlogin

  • rsh

  • ningunos RPC-basaron el protocolo

Las revisiones recientes del PIX han incluido el soporte para los Protocolos RPC. Cisco, sin embargo, desalienta fuertemente el uso de esta capacidad, pues el RPC es muy inseguro. Esta característica se significa para ser utilizada en solamente el más inusual de las circunstancias.

El PIX 7.0 utiliza el comando inspect rpc de manejar los paquetes RPC. El comando inspect sunrpc habilita o inhabilita la Inspección de la aplicación para el Protocolo RPC de Sun. Los servicios de Sun RPC pueden ejecutarse en cualquier puerto en el sistema. Cuando un cliente intenta acceder un servicio RPC en un servidor, debe descubrir que viran los funcionamientos de ese servicio determinado hacia el lado de babor encendido. En la orden haga esto, las consultas del cliente el proceso del portmapper en el número de puerto conocido 111. El cliente envía el número del programa RPC del servicio, y consigue detrás el número del puerto. Desde aquí, el programa del cliente envía sus interrogaciones RPC a ese nuevo puerto.


Información Relacionada


Document ID: 15244