5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 1/33
IMPLEMENTACIÒN DE FIREWALL EN UN ROUTER CISCO
Por
Wilmer Arlex Castrillòn
Grupo
38110
Instructor
Mauricio Ortiz
Centro de servicios y gestión empresaria
Tecnólogo en administración de redes
Sena
Medellín
2011
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 2/33
2
Introducción
En este trabajo les daré a conocer como implementar y configurar una firewall en un router cisco a
través de un entorno web. Se mostrara como instalar el entorno web para el router cisco. El
entono web más utilizado en router cisco se llama SDM.
SDM se hace llamar a entorno grafico para realizar previas configuraciones en un routers. Desde
duchi SDM se puede configurar enrutamiento, firewall, IDS, interfaces, etc. En este caso vamos a
utilizar el SDM para implementar un firewall.
SDM Administrador del dispositivo de seguridad de Cisco. Cisco SDM es una herramienta de
software basada en el explorador web, diseñada para configurar LAN, WAN y funciones de
seguridad en un router.
Un router o servidor de acceso, o varios de ellos, designados como búfer entre cualquier red
pública conectada y una red privada. Un router que actúe como firewall utilizará listas de acceso
así como otros métodos para asegurarse de la seguridad de la red privada.
Un firewall es una parte de un sistema o una red que está diseñada para bloquear el acceso no
autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o
conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 3/33
3
Implementación de firewall en router cisco
Que es un firewall?
Es un elemento de una red que lo que me permite es filtrar el trafico que viene hacia mi red LAN.
La principal función de un firewall es denegar o permitir el tráfico que viene de una red a otra. Me
permite bloquear conexiones no autorizadas que llegan hacia la red.
Para la implementación de un firewall en un router primero debemos realizar consultar que el IOS
del router tiene soporte para implementar un firewall, de lo contrario no se podría implementar.
Como no contamos con un router real que soporte un firewall, dicha implementación se hará con
gns3. GNS3 es simulador grafico de redes que le permitirá diseñar fácilmente topologías de red y
luego ejecutar simulación en el, exporte IOS de router, switches, etc. Gns3 hace lo que dispositivos
se emulen como si fueran reales y podamos conectarlos a un host o una red.
En este ejemplo trabamos con un router 3700 marca cisco.
Actividad planteada
Escenario a trabajar
En la siguiente imagen se muestra a continuación se ve la simulación en gns3 a implementar el
firewall. Como observamos tenemos dos redes (LAN y WAN) y el medio el router 3700. También se
observa la configuración con la cual se va a trabajar.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 4/33
4
Para empezar la configuración en el router damos clic derecho sobre él y elegimos la opción
consola o también se puede ingresar a la consola de router en el icono de la consola.
Dentro de la consola del router procedemos a configurar las interfaces, para ello se ejecutan los
comandos que se muestran en la imagen siguiente en un recuadro rojo. Primero vamos a
configurar la interfaz que está del lado de la red LAN.
Comandos a ejecutar:
en: hace referencia a enable y entramos a como privilegiado
Config t: hace referencia a configure terminal para ingresar al modo de configuración global
Int f0/0: ingresar al modo de configuración de la interfaz.
Ip add: asignar a la interfaz una dirección Ip estática.
no sh: encender la interfaz.do wr: guardamos cambios de configuración en el router.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 5/33
5
Procedemos a configurar la otra interfaz que es la que está al lado de la WAN. Ejecutamos los
mismos comandos pero esta vez no único que cambia en que la dirección ip va a hacer asignada
por dhcp
Luego vamos a verificar la configuración anterior, entramos al modo privilegiado e ingresamos el
comando show ip interface brief para listas la configuración de la interfaces.
Nota: simulamos que la dirección Ip 192.168.10.121 es la WAN por que a través de esa es que
salimos a internet y como no contamos con un dirección Ip publica nos toca realizar el trabajo de
esa forma.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 6/33
6
Ahora procedemos a configurar en el router el serbio http para poder realizar la configuración del
firewall desde un sitio web. Para habilitar debemos de ejecutar los comandos mostrador en la
imagen siguiente dentro de un recuadro rojo.
Para ingresar al sitio web del router, nos dirigimos a un equipo con sistema operativo XP que está
dentro de la red LAN y vamos a instalar SDM y uno de los requemamientos para instalar SMD es
java script.
SMD: Cisco SDM es una herramienta de software basada en el explorador web, diseñada para
configurar LAN, WAN y funciones de seguridad en un router. Consulte el apartado Pasos iniciales
para obtener más información.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 7/33
7
Abrimos la carpeta SDM de la imagen anterior y ejecutamos el archivo ejecutable para instalar
SDM. En ejecutable normalmente en Windows se hace llamar setup, damos doble clic sobre el
para empezar el proceso de instalación.
Cuando realizamos en paso anterior nos aparecerá un wizar de instalación del SMD. En la imagen
siguiente muestran las recomendaciones antes de continuar con la instalación y seguimos el
asistente.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 8/33
8
Aceptamos los términos de licencia de cisco SDM y damos clic en continuar.
Seleccionamos la ubicación a instalar cisco SDM. En este caso lo vamos a realizar en el equipo.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 9/33
9
Nos aparece por defecto la ruta en el equipo donde se va a instalar el SDM, lo dejamos por defecto
y continuamos con el proceso de instalación.
Damos clic en instalar.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 10/33
10
Cuando termina el proceso de instalación nos aparece una imagen como la siguiente
seleccionamos la opción iniciar cisco SDM y damos clic en finalizar.
Nos va a aparecer un SDM Launcher donde especificamos la dirección ip del router para ingresar
al vía web. Pero antes de eso vamos a probar conectividad con el router, abrimos la consola CMD
de Windows listamos el direccionamiento ip del equipo para verificar que si este dentro del misma
red del router y con el comando ping verificamos conectividad,
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 11/33
11
Especificamos la dirección ip del router que está del lado de la red LAN y habilitamos la opción
Este dispositivo tiene activado HTTPS y deseo utilizarlo, esto nos va a permitir una transferencia
de información con la aplicación de forma segura y damos clic en iniciar.
Al dar iniciar en el paso anterior se va a abrir el navegar pero autoicamente ingresando al router y
nos va a salir una ventana pidiendo autenticación para ingresar al sitio web del router. Ingresamos
con el usuario y la contraseña creada cuando se estaba habilitando en http por consola en el
router
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 12/33
12
Este es el sitio web del router donde vamos a realizar la configuración del firewall y también se
pueden realizar otras configuración pero la que nos interesa en estos momentos es la
configuración del firewall.
Ahora vamos a realizar las previas configuraciones para ello vamos a la pestaña configurar. Lo
primero a configurar son las reglas de NAT. NAT significa traducción de dirección de red, existen
dos formas de realizar reglas de NAT que son:
Reglas en Prerouting: Son las reglas que me permiten redireccionar las peticiones de servicios
que vienen desde la red WAN hacia los servicios internos que contiene un host.
Reglas en Postrouting: Son reglas que me permiten enmascarar la red LAN con la dirección ip
publica del router para que los hosts que están dentro de la red LAN puedan acceder a internetpor medio de la dirección ip publica del router ya que las direcciones ip privadas no pueden salir a
internet.
Nota: Recuerden que como no contamos con una dirección ip publica colocamos un dirección ip
privada la cual tiene acceso a internet por medio de un modem asignado por un ISP.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 13/33
13
Estando en la pestaña configurar nos dirigimos a la opción NAT que está en la parte izquierda de la
imagen que se muestra a continuación, seleccionamos la tarea NAT avanzada y damos clic en
iniciar la tarea seleccionada.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 14/33
14
Luego de iniciar tarea anterior nos aparece un wizar dándonos una bienvenida al asistente y nos
da una introducción a lo que es NAT y damos clic en siguiente.
Con el siguiente wizar creamos las reglas en Postrouting y en Prerouting.
Seleccionamos la interfaz en el router que se conecta a internet o a su proveedor de servicios ISP.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 15/33
15
Cuando realizamos el paso anterior nos aparece una imagen como la que se muestra a
continuación y por defecto el wizar toma la otra interfaz del router cono id de red LAN, marcamos
la casilla que la red que debe salir a internet y damos clic en siquiente.
Con los pasos realizados hasta ahora ya tenemos creada la regla en Postrouting, lo que sigue acontinuación serán los pasos para crear la reglas en Prerouting.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 16/33
16
Damos clic en agregar para empezar a crear las reglas en Prerouting.
Nos devolvemos al diagrama para verificar los servicios que hay en la red LAN. Primero vamos a
realizar la regla de Prerouting para en servicio servidor web, ingresamos los campos requeridos en
la ventana que se muestra a continuación y aceptamos.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 17/33
17
Volvemos a ir a la opción agregar e ingresamos los datos requeridos para el servicio de correo
electrónico.
De igual manera realizamos los dos pasos anteriores para crear la regla de nateo en Prerouting
para el servicio pop3. En el campo tipo de servidor colocamos otros ya que no aparece en servicio
pop3 y luego especificamos el puerto del pop3 de resto los dos primeros parámetros siempre van
a ser iguales.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 18/33
18
Si lo anterior se hizo correctamente nos debe aparecer una imagen como la que se muestra a
continuación donde podremos observar las reglas creadas de NAT en Prerouting y damos clic en
continuar.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 19/33
19
Damos clic en finalizar si estamos de acuerdo con las reglas que se van a crear.
Esperamos a que se ejecuten los comando en el router y damos clic en aceptar.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 20/33
20
Aquí nos muestra las reglas en NAT (prerouting y postrouting) que aplicaron en el router.
Configuración de firewall
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 21/33
21
Procedemos a configurar el firewall y es muy sencillo de realizar, para ellos nos dirigimos a la
opción firewall y ACL, luego seleccionamos la tarea firewall avanzado y damos clic en iniciar tarea
seleccionada.
Nos aparece un asistente para configurar el firewall y en el primera ventana damos clic en
siguiente.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 22/33
22
Elegimos la interfaz fiable y no fiable. La interfaz fiable es la interfaz que esta conectada a la red
LAN y la interfaz no fiable es la interfaz que va conectada a la red WAN.
Por defecto se trae un política por defecto, utilizamos esa opción de que utilice la política por
defecto y damos clic en continuar.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 23/33
23
Resumen de la configuración del firewall. No se especifica ninguna regla manualmente en el
firewall por que el toma las reglas de NAT ya creadas y con respecto a esas reglas crea sus reglas
en el firewall y finalizamos.
Nos aparece una advertencia del servicio dhcp ya que tenemos la interfaz no fiable para que
obtenga dirección por dhcp y seleccionamos la opción si para permiten que el trafico dhcp entre al
a través firewall y que el firewall no bloquee la comunicación dhcp.
En esta alerta es para que no se afecte la configuración de las reglas de NAT y seleccionamos la
opción si para estar de acuerdo con la alerta.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 24/33
24
Esperamos que se apliquen los comandos en el router de las reglas en el firewall.
Nos aparece una imagen como la siguiente donde nos dice que se ha configurado correctamente
en firewall en el router.
En la imagen siguiente se muestran las reglas que se aplicaron al tráfico de origen.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 25/33
25
Y luego vamos a la opción trafico de vuelta para ver las reglas que se crearon en el firewall para el
tráfico de vuelta o sea el tráfico que viene desde la red WAN.
Desde un equipo que este en la red WAN vamos a realizarle un ping para probar conectividad,
listamos la configuración del equipo para verificar que si este dentro de la red WAN y realizamos
en ping. Si en el transcurso del ping nos aparece que el paquete ping es filtrado podemos afirmar
que el firewall está funcionando. En la imagen siguiente se muestra lo dicho anteriormente.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 26/33
26
Luego nos dirigimos a un equipo dentro de la re LAN y probamos conectividad con el router. Desde
el equipo listamos su configuración ip y nos dirigimos a probar en ping. En el transcurso del ping
no debe aparecer que el ping sea filtrador que el router está conectado a la interfaz fiable.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 27/33
27
Nos dirigimos la pestaña configurar y el elegimos la opción NAT y vamos a empezar a realizar las
pruebas de las reglas de NAT. La primera regla en probar en la regla de NAT en postrouting en esta
al final de la lista.
De nuevo nos dirigimos al equipo de la red LAN y vamos a acceder a internet para probar la regla
de NAT en postrouting. Si accedemos a internet desde el host de la LAN es porque la regla de NAT
en postrouting esta funcionando correctamente.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 28/33
28
De nuevo nos vamos ver la lista de las reglas de NAT y la segunda regla en probar es la regla en
prerouting para el servidor web.
Luego nos vamos a la máquina de la red LAN e ingresamos al sitio web que tenemos localmente y
al cual se va a redireccionar cuando haya un petición por la interfaz no fiable del router.
Nos dirigimos a el equipo de la red WAN, en la parte izquierda de la imagen siguiente aparece la
configuración del equipo y en la parte derecha de la imagen siguiente se muestra como se ingresa
al sitio web de la red LAN. Desde dicho equipo se abre el navegador y se accede con la dirección ip
que tiene el router en la interfaz no fiable y cuando el router recibe la petición hacia en servicio
web como existe un regla de NAT, el router redireccionar el tráfico hacia el host especifico que
tiene el servicio web.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 29/33
29
De nuevo nos dirigimos a la lista de las reglas de NAT y vamos a probar la segunda regla que es el
servicio de correo electrónico (smtp).
Ahora desde el equipo local vamos a verificar que si tenemos el servicio de correo electrónico.
Para ello realizamos una prueba con el comando telnet y aplicamos dicho comando localmente.
Si tenemos el servicio de correo electrónico corriendo en la maquina local y aplicando el comando
telnet correctamente nos debe aparecer lo mismo que se muestra en la imagen que se muestra a
continuación en un recuadro rojo.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 30/33
30
Ahora desde la maquina que está en la red WAN vamos a realizar la misma prueba con el comando
telnet pero esta vez no aplicándolo localmente si no que aplicamos el comando telnet a la
dirección ip que tiene el router en la interfaz no fiable y como el router tiene una regla de nateo
en prerouting para el servicio SMTP se va a redireccionar todo el trafico SMTP a hacia el hosts que
tiene el servicio de correo localmente.
Al utilizar el comando telnet debemos de colocar el puerto del servicio al final del comando, y si
aparece los mismo realizado en el paso anterior pero esta vez desde la red WAN debe de aparecer
como se muestra en la imagen siguiente en un recuadro rojo.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 31/33
31
Ahora vamos a realizar la prueba del servicio pop3, nos vamos a las listas de las reglas de NAT para
mostrar cual es la regla que se va a probar.
Desde el equipo de la red LAN verificamos que tengamos el servicio encendido para ellos
ejecutamos el comando telnet localmente y al final del comando colocamos el puerto por dondeescucha las peticiones el servicio pop3. Si todo está bien al aplicar el comando en la imagen
siguiente se muestra lo que debe salir cuando el servicio pop3 esta corriendo.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 32/33
32
Luego de realizar la prueba anterior localmente procedemos a realizar la prueba desde el equipo
desde la red WAN. Ejecutamos el comando telnet a la interfaz no fiable de router y cuando el
router reciba peticiones hacia el servicio pop3 por la interfaz no fiable va a redireccionar el tráfico
hacia el hosts que tiene el servicio pop3. Si todo está bien y la regla se aplica correctamente en la
imagen siguiente nos muestra dentro de un recuadro rojo lo que debe de salir al ejecutar el
comando telnet.
Ya hemos llegado al final de este manual y las reglas de NAT y de firewall se están aplicando
correctamente.
5/6/2018 Manual Firewall Router - slidepdf.com
http://slidepdf.com/reader/full/manual-firewall-router 33/33
33
Conclusiones
El firewall es uno de los elementos de red que se debe implementar para brindar
seguridad en el tráfico que se transmite desde una red a otra.
Las reglas de NAT en postrouting son las reglas más utilizadas a nivel mundial en redes ya
que me van a permitir la salida a internet a todos los hosts de la red LAN con una soladirección ip.
La seguridad en una red LAN es primordial ya que al implementar un firewall vamos a
tener control que las conexiones que se vayan a realizar hacia la red internet desde una
red no confiable como lo es internet.