Redes

Configurar un cortafuegos PIX 501 desde cero

0 1 7 minutos de lectura
Cómo acortar referencias usando el símbolo de hashtag en Microsoft Excel

El firewall PIX de Cisco es uno de los dispositivos de hardware más comunes que se utilizan para proteger redes pequeñas y medianas de ataques externos. Un PIX configurado correctamente también puede ayudarlo a mantener cierto grado de control sobre los recursos a los que pueden acceder los usuarios internos. En este artículo, lo guiaré a través de cómo poner en funcionamiento su PIX Firewall en una configuración útil.

Usaré relativamente ligero Píxel 501 para mi configuración de ejemplo. (esta unidad Un paquete de licencias para 10 usuarios le costará alrededor de $450. ) El PIX 501 incluye un puerto de consola, un puerto WAN, cuatro puertos Ethernet 10/100, admite hasta 10 direcciones IP internas y cifrado DES opcional. Lo instalaré con el software de gestión PIX versión 6.2(1). Si está utilizando una versión diferente del software, los pasos de configuración pueden diferir ligeramente de los descritos en este artículo.

empezando
Primero, instale físicamente su PIX y podrá conectarlo a la red y directamente a su PC con Windows a través de un cable serie. El nuevo sistema operativo PIX incluye dos métodos de administración, la línea de comandos y el Administrador de dispositivos Pix (PDM), una GUI basada en web que maneja casi todo el proceso de configuración. Por supuesto, debe usar la línea de comando para configurar la dirección IP para el PIX antes de poder usar PDM.

Dirección IP predeterminada

PIX 501 asigna la dirección 192.168.1.1 al PIX para acceder desde la red interna. Puedo omitir la configuración de la línea de comandos en esta unidad en particular cuando sea posible si estoy dispuesto a aceptar este valor predeterminado. Cubriré el proceso de asignación de IP aquí para brindar una descripción más completa de los pasos de configuración para otros modelos PIX.

Para comenzar el proceso de configuración, debe conectar su PC de administración al PIX a través de HyperTerminal. Simplemente conecte el puerto de la consola del PIX a la PC a través de un cable serie. En HyperTerminal, establezca la velocidad en baudios en 9600. Una vez conectado, el PIX le pedirá que realice una configuración básica a través de algunas indicaciones en la línea de comandos.

Conéctese a través de HyperTerminal

Para obtener más información sobre cómo conectarse a dispositivos Cisco a través de HyperTerminal, consulte Jack Wallen, Jr’s. artículo, Dé sus primeros pasos con los enrutadores Cisco.

Proceso de configuración de la línea de comandos
Lista A Se proporciona una copia de mi rutina de configuración de ejemplo para mi PIX 501. Los elementos en negrita son mis respuestas a las indicaciones. También he adjuntado algunas notas sobre algunos temas.

Publicaciones relacionadas

ponte al día
Si tiene un PIX nuevo, debe usar Versión comando en el símbolo del sistema.Para actualizar, necesita Sitio de soporte de CiscoNecesita un contrato de soporte en el firewall para descargar correctamente la actualización. Siempre recomiendo contratos de soporte para puntos únicos de falla en la red; estos no son terriblemente costosos considerando cuánto le ahorran.Si no tiene un contrato de soporte, debe registrar su producto y Registro de cliente Página.

En el momento de escribir este artículo, las últimas imágenes del software PIX disponibles son 6.2.1 (se requiere inicio de sesión) y Administrador de dispositivos PIX La versión es 2.0.1 (se requiere inicio de sesión). Si desea utilizar una VPN, es fundamental pasarse a los nuevos PDM, ya que su configuración no es compatible con la versión 1.x.Estos archivos se denominan pix621.bin y pdm-201.binrespectivamente.

Software PIX
Instalar la última versión del software PIX es tan simple como seguir estos pasos:

  1. 1. Guarde el archivo PIX en un directorio al que pueda acceder el servidor TFTP. Si necesita un servidor TFTP, Cisco lo proporciona de forma gratuita.
  2. 2. Conéctese a través de HyperTerminal para asegurarse de que el enlace serie aún esté activo.
  3. 3. Reinicie el PIX reiniciando el PIX o emitiendo el comando de reinicio en la línea de comandos.
  4. 4. Cuando aparezca el mensaje de que la configuración está a punto de cargarse desde flash, presione [Esc] Ponga el PIX en modo monitor.
  5. 5. Proporcione a PIX información sobre su dirección, dónde puede encontrar su servidor TFTP y el nombre del binario para instalar.ingresé información Formulario A para mi configuración.
Formulario A
valor Objetivo
Dirección 192.168.1.20 La dirección interna del PIX.
Servidor 192.168.1.2 La dirección IP de mi servidor TFTP.
archivo pix621.bin El nombre del archivo a descargar.
tftp Inicie una transferencia TFTP de la nueva imagen.

Una vez completada la rutina de instalación, elija guardar esta imagen en la memoria flash. El dispositivo se reiniciará después de cargar el nuevo software PIX.

Actualizar software PDM
Mi PIX 501 vino con la versión 1.x de PDM, que está desactualizada.Para actualizarlo, usé Copie tftp://192.168.1.2/pdm-201.bin flash:pdm Utilice el comando en el indicador PIX para actualizar las herramientas de la GUI.

Mover a GUI
Después de completar la configuración básica, podrá usar PDM para completar la instalación. Desde una estación de trabajo con la dirección IP que proporcionó en la configuración de la línea de comandos, puede buscar su PIX usando HTTPS.Para mi instalación buscaría https://192.168.1.20.PDM funciona con cualquier navegador compatible con Java y JavaScript, pero se recomienda Internet Explorer 5.0 o posterior.

Se le pedirá un nombre de usuario y una contraseña para acceder al PDM. PIX PDM no usa un nombre de usuario, pero sí usa un campo de contraseña, que debe coincidir con el habilitar La contraseña que configuramos durante la configuración de la línea de comandos. Para mi configuración, esta contraseña es «admin».

PDM le preguntará si desea instalar el software de PDM. Si selecciona Conceder siempre o Conceder esta sesión, se permitirán todas las conexiones o solo una, respectivamente. Otra opción es denegar la sesión haciendo clic en Rechazar. Elegiré la opción de otorgar siempre.

A continuación, PDM me informó que, dado que era la primera vez que usaba PDM, tenía que realizar una configuración única. Permitiré esto seleccionando el botón «Continuar». Luego, el PDM carga la configuración de su PIX y llena varias pantallas GUI con esta información.El resultado final es la pantalla inicial de PDM, que se muestra en Figura A.

Figura A
PDM proporciona una serie de pantallas de configuración.

Pestaña
Cada pestaña de PDM representa un servicio diferente.

  • · Reglas de acceso: muestra sus políticas de acceso a la red enumeradas como reglas. Si ha utilizado el software Policy Editor de Checkpoint, la apariencia de esta pestaña le resultará algo familiar.
  • · Reglas de traducción: muestra las reglas de NAT y PAT (traducción de dirección de puerto).
  • · VPN: te permite establecer tu configuración de VPN.
  • · Hosts/Redes: Le permite editar la lista de hosts y redes definidas para la interfaz seleccionada. Las reglas de acceso se refieren a estos hosts y redes.
  • · Propiedades del sistema: Le permite cambiar la configuración de la interfaz de red.
  • Monitoreo: Le permite observar varios aspectos del sistema.

Configuracion basica
PIX necesita proporcionarle ciertos parámetros antes de que comience a funcionar. Si bien algunos de estos parámetros (como la dirección IP interna) se definen durante la configuración inicial de la línea de comandos, el PIX aún requiere información importante, como la dirección IP de la interfaz externa y las reglas de acceso.

establecer interfaz externa
En mi PIX 501, la interfaz interna está configurada en 192.168.1.20 y la interfaz externa está configurada para obtener una dirección IP del servidor DHCP de mi ISP. Sin embargo, me gustaría asignar una dirección IP estática a esta interfaz.Puedo hacer esto desde la pestaña de propiedades del sistema de PDM como Figura B.

Figura B
1661929107 428 Configurar un cortafuegos PIX 501 desde cero
Puede configurar la interfaz desde la pestaña Propiedades del sistema.

Como puede ver en la tabla de interfaces que se muestra en la Figura B, tengo dos interfaces en mi PIX 501: interna y externa. Estos nombres de interfaz se asignan durante la configuración inicial del sistema; los nombres de interfaz interna se pueden cambiar a cualquier cosa que desee.Para cambiar la dirección IP de una interfaz, seleccione la entrada de la interfaz en la lista y haga clic en el botón Editar en la parte inferior de la pantalla para abrir la pantalla Editar interfaz como se muestra Figura CHe configurado la dirección IP de la interfaz WAN en 10.10.10.1 y reservé el nombre «fuera».

Figura C
1661929108 582 Configurar un cortafuegos PIX 501 desde cero
Los cambios de direccionamiento se realizan fácilmente mediante PDM.

Hago clic en Aceptar y vuelvo a la ventana principal de PDM, el botón Aplicar a PIX ahora activado me permitirá guardar los cambios en esta sesión. Para que mis cambios sean permanentes, necesito guardarlos para flashear en el PIX.como muestra la imagen Figura D, PDM le permite saber cuándo se requiere flash; simplemente haga clic en el mensaje para escribir la nueva configuración en el PIX. Después de guardar en Flash, el mensaje desaparece.

Figura D
1661929108 754 Configurar un cortafuegos PIX 501 desde cero
PDM le permite saber cuándo necesita guardar en flash.

reglas de acceso
Las reglas de acceso forman la base de las políticas de seguridad de PIX y requieren una administración cuidadosa. Muchas organizaciones tienen reglas de acceso que permiten que cierto tráfico (como SMTP) atraviese el firewall desde el exterior o impiden el uso de servicios específicos (como la mensajería instantánea) desde el interior del firewall.

Suponga que desea bloquear el acceso a un sitio web específico, como www.whitehouse.com. Primero, debe encontrar la dirección IP de www.whitehouse.com, que resulta ser 209.67.27.248. En la pestaña Reglas de acceso de PDM, haga clic con el botón derecho en cualquier lugar y seleccione Agregar en el menú contextual.

existir Figura Econfiguré el PIX para denegar todo el tráfico desde la interfaz interna a la dirección IP externa 209.67.27.248.

Figura E
1661929109 410 Configurar un cortafuegos PIX 501 desde cero
Usar PDM para bloquear el acceso a un sitio web es muy sencillo.

Cuando hago clic en Aceptar, recibo un mensaje que indica que el host no existe en la red externa y PDM ofrece configurarlo como lo hizo en Figura F.

Figura F
1661929109 107 Configurar un cortafuegos PIX 501 desde cero
PDM lo ayuda a configurar nuevos hosts externos.

Para verificar esto, puedo hacer clic en Interfaz externa en la pestaña Hosts/Network y ver (Figura G) Se ha añadido la Casa Blanca como anfitrión.

Figura G
1661929110 222 Configurar un cortafuegos PIX 501 desde cero
Whitehouse.com ahora está en la lista de host.

Compatibilidad y Responsabilidad
Recuerde administrar su PIX de manera responsable guardando su configuración con frecuencia y conservando una copia impresa. Debido a un error muy simple, tuve que reconstruir mi configuración PIX desde cero durante un día ajetreado.

LEER  Hágalo: Proteger su Windows 2000 Server con filtros TCP/IP
0 1 7 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba