Capitulo 4 Configuracion de Politicas y Todos los dispositivos de firewall utiliza algn tipo de declaracin que proporciona control de acceso

entre dos segmentos de una red. y Cada producto implementa un diferente control de acceso, sin embargo se parecen por lo que si anteriormente hemos usado un firewall, entonces esta parte va a ser relativamente ms fcil. PoliticasNetscreen Las polticas permiten, deniegan o envan por un tnel traficos especficos entre dos puntos. Su equivalente en un cisco Pixserian los acceses -list, y en un Ckeckpoint Firewall serian los firewall rule. Las polticas son simples declaraciones configuradas, las cuales tienen 5 componentes principales: y Sentido o Direccion: Esta basado en las diferentes zonas de seguridad, se deben de definir dos zonas de seguridad en cada poltica. La primera zona es el origen del trafico, mientras que la segunda es la zona de destino. y SourceAddress: La direccin IP de origen de los host. Se puede utilizar la palabra any para cualquier direccin de origen. y DestinationAddress: las direcciones IP de destino, como minimo debe de declararse la direccin de un host, tambin se puede declarar con . y Service: Este campo define a que aplicacin queremos acceder. Puede ser por puerto o protocolo. (ICMP, IP, UDP, etc). Tambien se puede definir la palabra any que indica para cualquier tipo de servicio que se quiere acceder. y Action: Puede ser permitir, denegar o tunnel. Esta ultima accin es solo permitia cuando el trafico pasa a travs de un tnel VPN, el cual tiene que ser declarado antes.

Asimismo hay otros componentes que son declarados dependiendo de la poltica creada: y Logging: Para resolucin de problemas, son log que quedan almacenados en un servidor. y NAT: Sirve para esconder la IP de origen, y es casi siempre usado en la red interna. y TrafficShaping: Permite controlar la cantidad de Ancho de Banda que se puede consumir. y Counting: Sirve para crear graficos acerca del trafico que esta pasando a travs de esa poltica. y TrafficAlarm: Permite generar una alerta cuando el numero de bits por segundo o byte por minuto es excedido.

y Antivirus Scanning: Permite scanear los datos que atraviesan el firewall. y Sheduling: Permite crear una poltica que tiene efecto en ciertos rangos horarios. Por ejemplo que los usuarios puedan navegar en internet en ciertas horas. y URL Filtering: Limita el acceso a ciertas web sites, otras las deniega. y UserAuthentication: Permite autenticarse antes de que pas e a travs del Firewall.

Teoria de Acceso de Control y En un NetScreen Firewall, por defecto existe una regla que deniega todo, a menos de que exista una regla de mayor jerarqua que permita el trafico. Es parecido a un Access -list de cisco. Recomendacin: Crear reglas mas especificas primero, y lueg o reglas menos especificas. Por ejemplo segn la siguiente figura tenemos:

La explicacin es: (Pagina 180) Let s look at anexample. Figure 4.1 shows an example of policy ordering. This is a screenshot of a NetScreenpolicy.There are three policies in this example. In the first policy you see the source is very specific with only one host (WebMaster) connecting to a single destination (WebServer).This is the most specific policy in this example.The first policy only allows one single system to www.syngress.com Policy Configuration Chapter 4 179 connect to another single system. In the second policy, any host can connect to the destination WebServer with only HTTP (Hypertext Transfer Protocol).This is a less specific policy as it allows literally any host to connect to WebServer, as long as it uses the proper protocol. In the last policy, any host can connect to the destination FTP Servers with the File Transfer Protocol (FTP).This i s the least specific policy as it allows any host to connect to the group of FTP servers. El campo ID es creado automaticamente cuando se crea una politicavia WEB, pero cuando creamos via CLI este campo puede ser editado.

En cada poltica se requiere una zona origen y una zona destino. Tipos de NetScreenPolicies En NetScreen existen 3 tipos de polticas. Estas polticas siguen conservando los 5 componentes principales. Lo nico que lo diferencia son las zonas origen y las zonas de destino. De acuerdo a esto tenemos: y PoliticasIntraZona: La zona de origen y destino son iguales. y PoliticasInterZona: La zona de origen y destino son diferentes. y Politicas Globales: Es cuando la zona de origen y destino estn ambas definidas en la zona global.

Politicas Intrazona: Puede ocurrir que diferentes interfaces de un firewall estn en la misma zona. Por defecto el trafico dentro de la misma zona no esta bloqueado. Se puede habilitar la opcin de bloquear el trafico intrazona. Para habilitar el bloqueo intrazona se utiliza el comando: Net-GC > Set zone zonenameblock Y para deshabilitar: Net-GC >unsetzonezonename block

Zonename: Nombre de la zona.

PoliticasInterzona: es lo mas comn que vamos a encontrar en un firewall, no hay cambios en la configuracin para cambiar el comportamiento interzonal.

Politicas Globales: Son usados cuando se quiere permitir o denegar un tipo de trafico sin importar el tipo de zona. Como se ve en la figura 4.2 , el orden donde se colocan las polticas globales es indiferente de la zona de origen. Politicas por Defecto: Por defecto el firewall tiene una poltica de descartar cualquier trafico que no coincida con otras politcas. Es una poltica que esta escondida dentro de polticas globales. Es posible cambiar este comportamiento desde CLI. El comando para invertir esta poltica por defecto seria: Net-GC > Set-policy default-permit-all

Para deshabilitar este commando, cambiamos la palabra set por unset.

PolicyChecking

Si una conexin es permitida, esta crea una sesin en la tabla de sesin, la cual es una tabla que esta almacenada en la memoria del Firewall. Esta contiene una lista d e todas las sesiones permitidas y que han pasado a travs de una poltica. Antes que la conexin sea comparado con las polticas, primero es comparada en la tabla de sesin, para si ya existe una conexin permitida de este trafico. Si es asi, ell trfico es permitido a travs del firewall.

Dirigirse a pagina 184. (Breve resumen de requisitos para crear una politica)

Zonas Al momento de crear una poltica, se deben de definir tanto las zonas de origen y salida. Estas zonas estn ligadas a las interfaces , por lo que tambin se pueden asociar a las interfaces de origen y destino.

Entradas Address Book Revisar pagina 187 como se crea via WEB. Es cuando queremos asociar un nombre a una pc, rango IP, etc. Asimismo este nombre esta asociado dentro de una zon a, la cual se especifica al momento de crear.

Por ejemplo: any -> 0.0.0.0/0 VPN -> 255.255.255.255/32

Para crearlo manualmente por CLI tenemos:

Net-GC > set address zone name IPaddress coment

Por ejemplo podemos ingresar el siguiente 6omando: Net-GC > set address untrustWebServer 10.2.2.2/32 This is Darren s Web Server Para modificar, primero lo eliminamos con unst y luego lo podemos volver a crear con set.

AddressGroup Sirve para agrupar varios objetos, pueden ser rangos de IP, PCs especifi cas, etc. Revisar Pagina 191 para creacin via WEB. Para crearlo manualmente debemos de tipear:

1) Net-GC > set group address zone groupnamecomment comentario 2) Net-GC > set group address zone groupnameadd addressname

ServicesObject Pagina 192 Actualemente el IOS de Juniper tiene 8 servicios predefinidos. Un servicesobjet puede asociar un rango de puertos origen y destino, asimismo tambin se puede modificar el timeout , el cual es el tiempo en que el service sesin esta open.

ServicesGroup Similiar a addresgroup, asocial un conjunto de servicios en un containerlogico. Creacion de Politicas En esta parte vamos a crear polticas en partes separadas, primero a travs de la interece WEB y luego por CLI.

En esta pestaa podemos crear, eliminar, buscar, habilitar, deshabilitar y clonar polticas. Como se puede observar en anydestinationviaanyprotocol (Permit). la figura, hay una poltica con anysource,

Ingresar a la pagina 198, para ver los pasos que se siguen al crear una poltica. Campo Posicion at top: Para colocar la poltica creada primera en la lista de polticas. OpcionNegate: Sirve para denegar una subred por ejemplo tanto en sourceaddress o destinationaddress. Por ejemplo si creamos una poltica con los siguientes datos: Source: 10.10.10.0/24 Nega te Destination: any, Service: FTP , Action: Permit.

En este caso estamos creando una politica que permita cualquier source a excepcin de 10.10.10.0/24. Con esto resumimos por ejemplo dos polticas, la primera que deniega la red 10.10.10.0/24 y la segunda que permite anytoany.

Creacion de una poltica via CLI Pagina 203 Para crear una poltica con comandos, debemos tener presente 3 comandos: y Set policy: es la raz de la creacin de la poltica. y Getpolicy: muestra la informacin de todas o de algunas pol ticas especficas. y Unsetpolicy: Elimina la poltica.

Crear una poltica via CLI, requiere los mismos componentes que si lo hubiramos creado via web. El comando para crear polticas es: Net-Gc> set policy <SrcZone>to<DstZone><SrcAddress><DstAddress><Service><Action> from

Una vez creado la politica. el firewall te da un ID. Este ID es el identificador que utiliza el sistema para referirse a la poltica. Para editar partes de la poltica, agregar sourceaddress, servicios, etc colocamos en el CLI: Net-GC > set poicy id <ID> Luego entramos a un submenu: set, get, unset. Net-Gc (policy-id) > donde podemos utilizar los commandos

y Unset: utilizado para remover parte de las poltica. Para ubicar la poltica en una posicin especifica anterior a una poltica, utilizamos el campo before<ID>

Net-Gc> set policy before <ID> to<DstZone><SrcAddress><DstAddress><Service><Action>

from<SrcZone>

La politica creada se va a colocar una posicion antes del ID de la politica especificada en el campo before. Para colocar una poltica en la parte superior de todos, se reemplaza la palabra before por top. Net-Gc> set policy top to<DstZone><SrcAddress><DstAddress><Service><Action from <SrcZone>

Como ejemplo ponemos la creacion de una politica: Syngress->set policy from trust to untrust 10.10.10.0/24 any FTP permit policy id = 6 Syngress->get policy id 6 name:"none" (id 6), zone Trust ->Untrust,action Permit, status "enabled" src "10.10.10.0/24", dst "Any", serv "FTP"

Policies on this vpn tunnel: 0 nat off, url filtering OFF vpn unknown vpn, policy flag 0000, session backup: on trafficshapping off, scheduler n/a, serv flag 00 log no, log count 0, alert no, counter no(0) byte rate(sec/min) 0/0 total octets 0, counter(session/packet/octet) 0/0/0 priority 7, diffserv marking Off tadapter: state off, gbw/mbw 0/ -1 No Authentication No User, User Group or Group expression set Syngress->set policy id 6 Syngress(policy:6)->set service DNS Syngress(policy:6)->set src-address 10.10.9.0/24 Syngress(policy:6)->set name "Allow FTP" Syngress(policy:6)->set log Syngress(policy:6)->exit Syngress->get policy id 6 name:"Allow FTP" (id 6), zone Trust ->Untrust,action Permit, status "enabled" 2 sources: "10.10.10.0/24", "10.10.9.0/24" 1 destination: "Any" 2 services: "DNS", "FTP" Policies on this vpn tunnel: 0 nat off, url filtering OFF vpn unknown vpn, policy flag 0000, session backup: on trafficshapping off, scheduler n/a, serv flag 00 log yes, log count 0, alert no, counter no(0) byte rate(sec/min) 0/0 total octets 0, counter(session/packet/octet) 0/0/0 priority 7, diffserv marking Off tadapter: state off, gbw/mbw 0/ -1 No Authentication No User, User Group or Group expression set Syngress->

Commandosadicionales; Net-GC >Set policy move ID1 before ID2 Net-GC >Set policy move ID1 after ID2 Donde ID1: es mi politica que quiero mover e ID2: es la politica del punto de referencia.

CAPITULO 5 CONFIGURACION AVANZADA DE POLITICAS Como podemos observar, al momento de crear una poltica via web hay un botn que dice advanced. En este capitulo vamos a analizar las caractersticas de esto, entre los cuales estn: y y y y Network traffic Management Sheduling Counting Authentication

Network Traffic Management Como sabemos, en la LAN de una empresa podemos llegar a velocidades 100 Mbps o incluso Giga, pero aun existe el problema cuando nos conectamos a la Wan, la cual el ISP provee un servicio de T1 o E1, etc. Es la parte donde podemos priorizar trfico, agregar QoS, etc. Asimismo podemos elaborar estrategias para priorizar el trafico de VoIP, todo en el campo de TrafficShaping.

Beneficios de TrafficShaping Cada aplicacin genera un tipo de trafico diferente. Estos traficos se pueden ver afectados en la red, entre los cuales pueden ser: y Aplicaciones Interactivas: este tipo de aplicacin debe de responder inmediatamente luego de un input data. Por ejemplo pueden ser telnet o ssh. y Latencia Sensitive: VoIP, H323, los paquetes tienen q ser entregados en orden y en un momento especifico. y Bursty: este termino es de Juniper para enviar burst de data en vez de stream de data. Puede ser el trafico HTTP o FTP. y NoveltyTraffic: para aplicaciones streaming punto a punt o. Trafficshapping: determina la prioridad en el uso del ancho de banda. Por ejemplo para VoIP, la latencia es importante por lo que se configura dos cosas: primero q pase rpidamente a travs del firewall (highpriority) y segundo que tenga el ancho de ban da disponible. PacketQueuing Cuando ingresa un paquete al firewall, es analizado por las polticas y si coincide con alguna, recin es analizado por el trafficshaping. El trafficshaping es configurado por poltica, y tiene varios trminos asociados:

y PriorityQueuing: prioridad en la cola, son 8 niveles: el 0 (HIGH PRIORITY) BW totalmente disponible hasta el nivel 7 (LOW PRIORITY) y Guaranteddbandwith: el ancho de banda garantizado que tiene que estar disponible para el trafico. y Maximiumbandwidth: Este parmetro define el mximo BW que puede utilizar los paquetes. Se puede utilizar para los protocolos HTTP, FTP, tanto para host o subredes. y Interface bandwidth: Cuanto ancho de banda estn disponibles en las interfaces, si no se define este campo el firew all asume el ancho de Banda de la interface: 10 o 100 Mbps. y Diffeservmarking: permite etiqueta el paquete de acuerdo a su prioridad. Aade un bit en el campo Type of Service de la cabezera IP. Si configuramos mal el trafficshaping, podemos llegar a tener u na mala gestin del trafico. Traffic shaping is a very complex process. There are many factors that come into play in regards to designing and effective traffic shaping design . Not only must you consider the effects of guaranteed bandwidth, maximum bandwidth, and priority, you must also consider the protocol you are trying to shape . When shaping a protocol, understand how that protocol works first. If possible, do a study to determine bandwidth usage for each protocol.You may be surprised by how each protocol performs. One particular protocol is HTTP. I have seen many organizations configure a poor traffic shaping policy around this protocol.Typically the HTTP protocol does not use a great dea l of bandwidth as one might assume. If the website you are trying to traffic shape is mainly a text -based site with light images the bandwidth consumption will be relatively low compared to a site delivering many images or multimedia content. When you acce ss a website, you send a small amount of data requesting the content on the page.Then the Web server will deliver the requested information. The user will review the information by reading the page or looking at the pictures, and can usually then click on a second link on the site to access more content. For this type of website, there is no consistent passing of data, all the data is passed in bursts. Planning for this type of application can be tough

because of its inconsistent distribution of data.This i s where a study to determine exactly how much bandwidth is used would largely benefit you.

Vamos a ilustrar ahora dos ejemplos de trafficshaping para su entendimiento: Ejemplo 1: En la Lan tenemos: y rea marketing: 10.1.1.0/25 poco consumo de internet, p ero si email. y AreaInvestigacion: 10.1.1.128/25, alto consumo de internet. En la WAN tenemos una conexin T1: 1,544 Mbps Bandwitdh. El problema es que los de marketing pueden estar utilizando streamingtraffic , el cual puede ser importante para su trabajo pero que lentea las aplicaciones del rea de Investigacion. Entonces podemos definir una poltica tal como:

La explicacin de este cuadro la encontramos en: We have set up three policies for the company.The first policy allows the Research department to access the Internet with the HTTP and HTTPS (HTTPSecure) protocols.This allows the Research Services department to access the websites to acquire the information they need.We are guaranteeing 512Kbps, or about 1/3rd, of the T1 because of the importance of this action.This traffic is given the high priority tag to ensure that it gets as much bandwidth as possible. The second policy allows for the Marketing department to access streaming media.We guarantee that they will have 256Kbps for streaming media protocol. However, in this policy we also cap the total bandwidth they use to 512Kbps. This traffic is given the second highest priority because upper management wants to ensure they have access t o the

streaming media. The final policy covers the entire company for access to the Internet. On this policy we use the entire network, 10.1.10/24, which encompasses both 10.1.1.0/25 (Marketing), and 10.1.1.128/25 (Research Services).We guarantee 512Kbps f or this traffic with no cap on how much bandwidth they can use.This traffic has the lowest possible priority. Let us look at the numbers and how the traffic breaks down for availability. y Guaranteed Bandwidth Total guaranteed bandwidth 512Kbps + 512Kbps + 256Kbps = 1280Kbps.The available floating bandwidth 264Kbps is left from the T1 in cases where all of the policies are using the maximum bandwidth. y Maximum Bandwidth Only one policy is configured with maximum bandwidth.This is to ensure that the marketin g department does not consume the entire T1. y Traffic Priority The first policy will always get priority over the rest of the policies for any bandwidth remaining after all of the guaranteed bandwidth is used.The other policies will always get their guaranteed bandwidth regardless of the priority. If the first policy does not use the remaining bandwidth, it will first be available to the second policy, followed by the third policy.

Ejemplo 2: Continuando con el ejemplo 1, ahora los requerimientos de anch o de banda han aumentado y resume de la siguiente manera: LAN y AreaIngeniera (ResearchServices) : han aumentado la subred a 10.1.1.0/24, necesitan principalmente del protocolo HTTP y HTTPS, asi como en menor medida del protocolo FTP. y Departamento Marketing: se les ha prohibido el acceso a aplicaciones streaming, pero si requiere el uso de internet HTTP y HTTPS. Son menos gente que el rea de Ingenieria. La subred que utilizan es 10.1.2.0/25 y Area Recursos Humanos: utiliza la subred 10.1.2.128/25. Su princ ipal requirimiento es poder descargar sus documentos via FTP durante el dia. WAN: La empresa se conecta a un enlace T1:1,544 Mbps. Las principales polticas creadas en el firewall para maximizar el uso del BW seria:

We continued with the theme of our original policies.The first policy still allows Research Services to access the Internet with the 512Kbps guarantee.The second policy allows for Research Services to FTP to the Internet with a 128Kbps guarantee. Because it is not as important as HTTP and HTTPS, we give FTP less bandwidth. Both of these policies have their traffic labeled as high priority. The third policy allows the Marketing department to access the HTTPS and HTTP protocols.Theyhave fewer people in their department so they require less bandwidth.We have guaranteed the department 256Kbps of guaranteed bandwidth. The traffic from the Marketing department is not rated as important as either the Research Services or Human Resources traffic, but it is deemed mo re important than all of the other traffic coming from the company. Because of this we have given this policy third priority.

The fourth policy is used to address the Human Resources department s requirement for FTP.The files for Human Resources are small and require very littlebandwidth.We have guaranteed Human Resources 128 Kbps and have specified a maximum bandwidth of 128 Kbps.This will ensure that they get the available bandwidth, but does not allow them to capitalize on the rest of the availablebandwidth.The last policy allows the rest of the company to access the Internet, guaranteeing them 256 Kbps.This traffic is not required for the company to function and has been given a low priority. y Guaranteed Bandwidth Total guaranteed bandwidth is 512 Kbps + 128 Kbps + 256 Kbps + 128 Kbps + 256 Kbps = 1280 Kbps.The available floating bandwidth (264 Kbps) is left from the T1 in cases where all of the policies are using the maximum bandwidth. y Maximum Bandwidth We have two separate policies with maximum bandwidth.These policies are used with maximum bandwidth to ensure that they do not use up all of the available floating bandwidth. y Traffic Priority The first two policies will always get priority over the rest of the priorities for any bandwidth remaining after all of the guaranteed bandwidth is used.The Human Resources FTP policy will get second priority to bandwidth. Since this policy is already guaranteed bandwidth and the maximum bandwidth it can use is the same, as the guarantee configuring the priori ty does not change much because it will already get the bandwidth guaranteed to it.The Marketing policy will be able to use any bandwidth left over that the research services team does notuse.The rest of the company gets to use the guaranteed bandwidth of 256 Kbps and gets to use any other bandwidth that is left over.

ConfiguracionTrafficShaping

Tenemos que configurar en dos lugares el trafficshaping: 1.- Configurar el Ancho de Banda en la interface que se va a activar el shaping. 2.- Configurar los parme tros de trafficshaping en la poltica.

Configurar el ancho de Banda en la interface Facil, se agrega en el campo Bandwith cuando editamos una interfaz. El valor tiene que ser expresado en kbps. Network / Interfaces / Edit. Si lo queremos hacer manualment e (1544 kbps) debemos de tiper el comando: Net-GC >Set interface untrustbandwitch<BW expresado en kbps> Ejemplo: Syngress->get interface untrust Interface untrust: number 1, if_info 88, if_index 0, mode route link up, phy-link up/full-duplex vsys Root, zone Untrust, vr trust-vr dhcp client disabled PPPoE disabled *ip 214.208.253.9/24 mac 0010.db61.0e01 *manage ip 214.208.253.9, mac 0010.db61.0e01 route-deny disable ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident -reset disabled, SSL disabled webauth disabled, webauth -ip 0.0.0.0 OSPF disabled BGP disabled RIP disabled bandwidth: physical 100000kbps, configured 0kbps , current 0kbps total configured gbw 0kbps, total allocated gbw 0kbps DHCP-Relay disabled

DHCP-server disabled Syngress->set interface untrust bandwidth 1544 Syngress->get interface untrust Interface untrust: number 1, if_info 88, if_index 0, mode route link up, phy-link up/full-duplex vsys Root, zone Untrust, vr trust-vr dhcp client disabled PPPoE disabled *ip 214.208.253.9/24 mac 0010.db61.0e01 *manage ip 214.208.253.9, mac 0010.db61.0e01 route-deny disable ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident -reset disabled, SSL disabled webauth disabled, webauth -ip 0.0.0.0 OSPF disabled BGP disabled RIP disabled bandwidth: physical 100000kbps, configured 1544kbps , current 0kbps total configured gbw 0kbps, total allocated gbw 0kbps DHCP-Relay disabled DHCP-server disabled Syngress->

Configuracion en la politica Configurar trafficshaping es relativamente facil, solo es cuestion de editar la politica e ir en el boton AVANZADO, y especificar los parmetros ya explicados (BandwidthGaranted, Maximum BW, etc) Mayo informacin pagina 228. AdvancedPolicyoptions

Dentro de esta categora estn: y Counting: Muestra una grafica del trafico que se esta aplicando a la poltica. Puede servir para analizar las polticas de trafficshaping. Se puede habilitar el trafficalarm te enva via email un aviso cuando excede n cierto limite. Se puden obtener reportes de trafico, alarma de traficos, etc. Mayor informacin pag 232. y Sheduled: cuando se crea una poltica, esta se activa automticamente en el running config. Se puede deshabilitar manualmente, pero es algo tedioso. Si queremos activarlo en intervalos de tiempo, se utiliza esta opcin. El tiempo es basado en la hora del firewall. Se tiene q crear un shedulingobject, el cual puede tener una hora o un rango de horas que quiere q la poltica se aplique. Pasos: o Crear el shedulingobject. o Aplicar el shedulingobject a la poltica. Comando para ver objetos : Net-GC >getsheduler y Autenticacion: puede darse el caso que la ip de un host administrar puede ser falsificado y luego el impostor puede tener acceso a los recursos, esto porque la poltica se basa en direcciones IP. Hay dos tipos de autenticacin: o Inline autenticacin: Te pide autenticarte con un usario al acceder a los protocolos HTTP, FTP o telnet. Dentro de estas mismas polticas se pueden acceder a otros protocolos. o WebAuthAuthenticacion: Tiene que autenticar su Ip en el firewall.

Para la configuracin de la autenticacin, dirigirse a la pagina 242 . (274 del pdf)

CAPITULO 6 AUTENTICACION

CAPITULO 7 ROUTING Firewall Netscreen tiene la capacidad de dividir una sola tabla de ruteo en multiples virtual routing. Un virtual router es un router virtual que tiene todas las caractersticas que un router normal. Virtual routers: y Soporta protocolos de enrutamiento dinmicos, enrutamiento estatico y por defecto.

y Por defecto a NetScreen Firewall contiene dos virtual routers, los cuales no pueden ser eliminados: trust-vr y untrust-vr. Se pueden crear mas, pero depende de la plataforma y la licencia respectiva. y Es como si se tuviera trabajando con routers reales. Creacion: Via Web: network/ routing / Virtual Routers. Via CLI: los commandos para crear via CLI son: Net-Gc# getvrouter Para mostrar la lista de router virtuales Net-Gc # set vroutername<nombre> Para crear un Nuevo router virtual. Ejemplo: ns500->get vrouter * indicates default vrouter for the current vsys A - AutoExport, R - RIP, O - OSPF, B - BGP ID Name Vsys Owner Routes Flags 1 untrust-vr Root shared 0/max * 2 trust-vr Root shared 1/max total 2 vrouters shown and 0 of them defined by user ns500->set vrouter name Syngress -WAN ns500->get vrouter * indicates default vrouter for the current vsys A - AutoExport, R - RIP, O - OSPF, B - BGP ID Name Vsys Owner Routes Flags 1 untrust-vr Root shared 0/max * 2 trust-vr Root shared 1/max 1025 Syngress-WAN Root user 0/max total 3 vrouters shown and 1 of them defined by user ns500->

Seleccin de Rutas: El ruteo se define en base a 3 parametros: y MostEspecific: De acuerdo a la subnet declarada en la ruta. Mientras ms coincidan los bits, mejor es la ruta. y RoutePreference: Es una tabla interna editable, que se basa en el origen de la ruta, las cuales pueden ser conectadas, rip, ospf, etc.

y RouteMetric: la mtrica es el ultimo componente analizado si es que aun coinciden dos rutas. Los valores son: Conectado: o Rutas Staticas: 1

Hay casos en que tanto la mtrica como la routepreference pueden coincidir. Para editar los valores de Routepreference entrar a Network/Routing/ Virtual Routers. Via CLI podemos utilizar: NET-Gc # getvrouter<nombre del vrouter>preference routepreference Ejemplo: (Pag 291) ns500->get vrouterSyngress-WAN preference vrouterSyngress-WAN route preference table --------------------------------------------Connected Routes: 0 Static Routes: 20 Auto-exported Routes: 30 Imported Routes: 140 RIP Routes: 100 EBGP Routes: 40 IBGP Routes: 250 OSPF Routes: 60 Muestra la tabla de

OSPF External Type-2 Routes: 200 ns500-> ns500->set vrouterSyngress-WAN preference ebgp 255 ns500->get vrouterSyngress-WAN preference vrouterSyngress-WAN route preference table --------------------------------------------Connected Routes: 0 Static Routes: 20 Auto-exported Routes: 30 Imported Routes: 140 RIP Routes: 100 EBGP Routes: 255 IBGP Routes: 250 OSPF Routes: 60 OSPF External Type-2 Routes: 200 ns500->

Set RouteMetric

Se puede cambiar la mtrica al momento de crear una ruta estatica, via web se tiene que ingresar a Network/ Routing / Routing Entries

Via CLI se aplica el comando: NET-GC > set route 10.123.2.0/24 interface eth3 metric 20 NET-GC >get route

Route Distribution El firewall puede redisribuir rutas a otros dispositivos, tanto si son aprendidas en el mismo protocolo o si son de protocolos diferentes. Para activar este servicio, primero se tienen que configurar dos cosas: y Access list: es para ver si coinciden las direcciones IP. y RouteMap: es una lista de condiciones que se aplican cuando coincide una direccin IP.

Configurar un Access List Los Access list se crean en un Virtual Route, pueden ser creados via web o por CLI. Al configurar tiene q tener los siguientes elementos: 1. Access List ID: Es un identificador. 2. Action: Permit o Deny 3. IP address / Netmask: El rango que tiene q coincidir. 4. Numero de Secuencia: Es un numero que determina la secuencia en que el Access list es chequeado.

Para crear via CLI: Net-GC >set vrouter<Nombre Router Virtual> access-list 10 permit ip 10.10.10.0/24 100 Net-GC> get vrouter<Nombre Router Virtual> access -list

RIP Configuracion de RIP

OSPF: Se active por cada Virtual Router. Cada virtual router soporta una instancia de OSPF a la vez. Pasos: 1. 2. 3. 4. Configurar a virtual router ID En una virtual router, crear la instancia OSPF Activar la nueva instancia OSPF Configurar las network interfaces que va a tener el protocolo OSPF. Pasos para crear por CLI: Net-GC > Setvrouter trust-vr protocol ospf

Net-GC > Setvrouter trust-vr protocol ospf enable Net-GC > Getvrouter trust-vr Net-GC >set interface Ethernet 3 protocol ospf enable Net-GC > get interface Ethernet 3

Capitulo 8

Netscreen NAT Overview Source NAT: traduce una direccion IP origen, source Pat traduce un puerto origen. Capitulo 9

IPSEC: Conjunto de protocolos que proporciona seguridad a la capa de Internet. Consiste de dos protocolos ESP: encapsulatonsecuritypayload y AH: autenticacin heades Algunos servicios de IPSEC son: Privacidad y confiabilidad de datos. Autenticacin Integridad de datos Control de acceso

Modos de IPSEC: Modo transparente Modo tunel