Configuración básica de Cisco PIX Firewall

--[ Contenidos

1 - Introduccion

2 - Conceptos antes de empezar

3 - Configuracion basica

4 - NAT "Network Address Traslation"

5 - PAT "Port Address Traslation"

6 - Armando el Ruteado

7 - Reglas de filtrado

8 - Restringiendo el acceso

8.1 - Logueandonos al PIX

8.2 - Privilegios de los usuarios

9 - Configurando el Syslog

10 - Todo lo no cubierto

11 - Referencias

--[ 1 - Introduccion

Este articulo es una introduccion a la filosofia y configuracion basica de un Cisco PIX Firewall. Estara focalizado mas en la parte practica que teorica, y acompa~ado con comentarios de diferentes experiencias.

Se puede decir que el fuerte de Cisco Systems, y lo que la mayoria conoce, son sus routers. Por ello, constantemente compararemos a los routers de Cisco con su firewall.

Si bien este articulo es solo una introduccion, contiene todo lo necesario para configurar y administrar un PIX desde cero, y darles las herramientas para poder seguir investigando. O por lo menos esa es la idea, no los aburro mas...

Pueden enviarme cualquier consulta o comentario relacionado a este articulo.

--[ 2 - Conceptos antes de empezar

PIX "Private Internet eXchange" es el firewall de Cisco Systems para su linea de productos de seguridad "Cisco Secure". Originalmente el PIX fue construido por una empresa llamada TNI "Translation Networks Inc.", hasta que fue adquirida por Cisco, y en 1994 salio al mercado como el primer producto comercial para hacer NAT.

Al contrario de la creencia popular, el sistema operativo del PIX no es un IOS con las access lists mejoradas, sino que fue especialmente dise~ado y bautizado con el nombre de FOS "Finesse Operating System". La ultima version del FOS es la 6.3.

Dentro de las muchas cualidades del PIX, podemos nombrar su SO embebido que evita los bugs de SO's para propositos generales; el ASA "Adaptive Security Algorithm" que realiza la inspeccion, y mantiene el estado de las conexiones y las traslaciones de red; el Cut-through Proxy que permite autenticar a los usuarios con el PIX utilizando ftp, telnet o http; la opcion de filtrado de URL's en el PIX utilizando un software externo; su gran performance para armar VPN's; y la muy reciente posibilidad de manejar VLAN's, entre otras cosas.

Actualmente podemos encontrar la serie 500 de PIX con cinco modelos, el 501, 506E, 515E, 525 y 535. El 501 para uso hogare~o, los 515E, 525 y 535 para empresas medianas y grandes, y el 506 es un intermedio entre estas dos gamas.

Todos estos modelos conservan el gran poder del PIX y su mayor diferencia se encuentra en la memoria, trafico, cantidad de interfaces y licencias.

El PIX 501 viene con una licencia de 10 usuarios, pemitiendo atravesar el firewall solo a 10 direcciones IP de origen. Esta licencia puede ser extendida a 50 usuarios. El 506 posee una licencia unica en modo ilimitado. El resto de los modelos puede poseer una licencia Unrestricted (UR) que permite la instalacion y uso del maximo numero de interfaces y memoria RAM. Este modo tambien soporta "failover". Una licencia Restricted (R) que limita el uso de las interfaces y memoria del sistema. Este modo no soporta failover. Y finalemente la licencia de Failover (FO) que permite al PIX trabajar en una configuracion de firewall redundante con otro PIX que posea una licencia UR.

El hardware con el cual esta construido el PIX no es nada que no conozcamos.

Si utilizamos el comando "show version" filtrando la salida, esto lo hacemos con una reducida version del comando "grep" que trae el FOS, podemos obtener una descripcion. Veamos de que estan hechos los PIX 501, 515 y 525:

Paris# sh ver | grep Hardware

...