UNIVERSIDAD NACIONAL DEL ALTIPLANO

FACULTAD DE INGENIERIA MECANICA ELECTRICA

ELECTRONICA Y SISTEMAS

ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS

TRABAJO DE
REDES Y DE SERVICIOS DE COMUNICACIONES
ALUMNO:
DENNIS BRADDY LIMACHI FLORES

111712

ZAMITH SAUL GOMEZ BACA

105474

Puno - Per
2015

Contenido
Qu es un Firewall?............................................................................................ 3
TIPOS DE FIREWALL......................................................................................... 3
Limitaciones de proxies/cortafuegos.........................................................................3
IPFire............................................................................................................... 4
FIREWALL ASA................................................................................................. 9
REQUERIMIENTOS Y SOFTWARE....................................................................10
CONFIGURACION PREVIA............................................................................... 10
CONFIGURACION DE ASA............................................................................... 17

Qu es un Firewall?
Controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de seguridad.
Tambin es frecuente conectar al firewall una tercera red, llamada zona desmilitarizada o DMZ,
en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la
red exterior.

TIPOS DE FIREWALL
Filtro de paquetes
Capa 3; A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP:
direccin IP origen, direccin IP destino.
Capa 4; filtro puerto origen y destino,
Capa 2; direccin MAC
Filtros de aplicacin
Capa 7; por ejemplo, si se trata de trfico HTTP se pueden realizar filtrados segn la URL a la
que se est intentando acceder.
En este caso es denominado Proxy
Filtro personal
Se instala en un computador personal, filtra las comunicaciones entre dicho el y el resto de la
red.

Limitaciones de proxies/cortafuegos
No protege de ataques fuera de su rea
No protege de espas o usuarios inconscientes
No protege de ataques de ingeniera social
No protege contra ataques posibles en la transferencia de datos, cuando datos son enviados o
copiados a un servidor interno y son ejecutados despachando un ataque.

IPFire
Es una distribucin de Linux que mezcla el concepto de firewall con el de router para tener una
maquina todo en uno y poder dar servicio a varias mquinas en su salida a Internet, as como en
su seguridad, puesto que, al igual que IPCop, permite levantar VPN, dar acceso a travs de
equipos remotos... en pocas palabras, es una plataforma de seguridad. Contiene un sistema de 32
bits y soporta tecnologa ARM
Las necesidades de este programa para funcionar son muy simples, una tarjeta ethernet para dar
acceso a la LAN (identificada como Green), otra tarjeta, para dar acceso a Internet (identificada
como Red) y, si queremos rizar el rizo, necesitaramos dos tarjetas de red ms, una ethernet y
otra WLAN (Wireless LAN), en la que, respectivamente ira la zona DMZ (Zona exclusiva para
servidores, de limitado y controlado acceso) que se identificara como Orange y la zona WIFI,
que se identificara como Blue.
Instalacin

Antes de empezar, es muy importante que conozcamos la MAC de cada una de las tarjetas de
red que van a intervenir en la instalacin. Normalmente, vienen en una pegatina en la propia
tarjeta de red o, si en la maquina hay otro sistema operativo montado, apuntarlas directamente
del sistema.
Para este caso usaremos el virtual box para emular el sistema

Con el sistema de ip fire ya cargado correspondientemente

En primer lugar debemos configurar el tipo de teclado que vamos a utilizar en nuestro IPFire,
podremos elegir el teclado espaol para no tener que estar mirando por Internet la configuracin
del teclado ingls, es de agradecer que una distribucin Linux incorpore nuestro teclado.
A continuacin podis ver nuestra distribucin de teclado, la seleccionamos y nos movemos con
el teclado hasta el OK para aplicar cambios.

A continuacin nos preguntar por nuestra zona geogrfica para poder establecer el huso horario de
forma automtica.

Seguimos con el proceso de configuracin inicial e introduciremos el nombre que queremos dar a
nuestra mquina.

Y a continuacin el nombre del dominio al que pertenece.

En el siguiente paso debemos establecer una contrasea de administrador o root para nuestro
sistema.

Ahora tambin establecemos una contrasea para que el administrador pueda acceder a la web de
configuracin de ipfire.

Ahora es el turno de configurar los diferentes parmetros de red. Este puede ser el apartado que ms
problemas cause. En l disponemos de 4 opciones diferentes: Tipo de configuracin de red: En este
apartado estableceremos el nmero de tarjetas de red que vamos a utilizar en IPFire. Cada tarjeta de
red se identifica con un color (GREEN + RED en nuestro caso). Drivers y asignacin de tarjetas:
Desde este apartaod debemos asociar una tarjeta de red fsica a cada una de las que hayamos
configurado en el apartado anterior. (GREEN = Gigabit Ethernet 1, RED = Gigabit Ethernet 2, por
ejemplo). Configuracin de direcciones: Aqu configuraremos una direccin IP a cada una de las
tarjetas anteriores. Configuraciones de DNS y puerta de enlace: A la hora de conectarnos a internet
debemos configurar una puerta de enlace y unos DNS a nuestro IPFire.

Y una ves terminado se reiniciara el sistema y este estar listo para ser ejecutado.

Configuracin del firewall de IPFire

La configuracin de IPFire se realiza de forma remota a travs de una interfaz web establecida
para dicha funcin. La forma de acceder a ella es a travs de una conexin segura que se puede
dar de 2 formas diferentes:
https://ipfire.localdomain:444
https://192.168.0.20:444 (cambiando la IP por la que hayamos establecido a la tarjeta GREEN
de nuestro IPFire).
A continuacin nos pedir un nombre de usuario y una contrasea desde el que vamos a
configurar nuestra suite. Lo introducimos y accedemos al panel de configuracin. (Usuario:
admin. Contrasea: la especificada anteriormente).

FIREWALL ASA

GNS3
Esta herramienta de virtualizacin permite la creacin de dispositivos de red virtuales
as como interconectarlos infraestructura de red. GNS3 (Graphical Network Simulator)
es un emulador de redes que permite la virtualizacin de redes complejas. Al igual que
tales como VMWare o VirtualBox son empleados para la virtualizar sistemas operativos
(Windows, Linux, ), GNS3 es usado para imgenes IOS (Internetwork Operating
System) de routers Cisco. GNS3 es un frontend grfico de Dynamips y Dynagen, los
cuales son las herramientas que realmente permiten la emulacin concretamente,
Dynagen ofrece una interfaz de lnea de comandos ms simple a Dynamips, el cual es
en ltima instancia, el emulacin de la IOS. Usando un simple editor de textos, un
usuario podra crear su propio fichero de topologa con la red a emular Precisamente,
GNS3 facilita este proceso creando para ello una sencilla interfaz grfica que abstrae al
usuario de los detalles de escenario:
Diseo grfico de topologas de red a emular.
Emulacin de redes Ethernet, ATM y switches Frame Relay.
Emulacin de una gran variedad de IOS Cisco, JunOS, IPS y firewalls
CISCO de tipo ASA y PIX.
Conexin de la red simulada a un entorno real.
9

Integracin con Qemu y VirtualBox para emular hosts.

Captura de paquetes integrada usando Wireshark.

REQUERIMIENTOS Y SOFTWARE
1. Sistema operativo Windows 8.1
2. IOS Firewall Cisco ASA 8.4
Ram 1024mb
asa842initrd.gz
asa842vmlinuz
3. Cisco ASDM 6.4
tftpd64.452
4. GNS3
5. Java 7
6. Cloud (H Terminal)
Hdwwiz.exe
ASA certificate
Certificate Host (10.10.10.1)
7. IOS:
asdm-641
anyconnect-win-2.5.6005-k9
asdm-711 (Respaldo)
Tftpd64-4.50-setup
Tftpd64_SE-4.50-setup
8. Otros (Navegador, IOS Switch Ethernet)

CONFIGURACION PREVIA
Primero instalamos un adaptador de red de bucle invertido () ejecutando el archivo Hdwwiz.exe.

10

Aqu seleccionamos un adaptador de bucle invertido

Abra Panel de control, haga doble clic en "Agregar hardware '.En el 'Bienvenido a agregar
hardware' asistente, haga clic en "siguiente", elija 'instalar el hardware seleccionndolo
manualmente de una lista (avanzado) "y luego" siguiente ".En la lista de los "Tipos de hardware
comunes 'elegir' Adaptadores de red" y luego "siguiente" Seleccione 'Microsoft' en la seccin
'Fabricante' y 'bucle de nuevo adaptador de Microsoft "en la seccin" Adaptador de red "y
luego" siguiente "y" siguiente ".
Una vez instalado el adaptador realizamos la configuracin de la direccin IP v 4, que en
nuestro caso sera: como se muestra en la figura siguiente:

11

Nuestra red de buble invertido se llama: Ethernet 2

Como siguiente paso ejecutamos los archivos:

Tftpd64-4.50-setup
Tftpd64_SE-4.50-setup

Estos archivos son para direccionar y relacionar en entorno de GNS3 con un navegador, en este
caso Mozilla Firefox

12

En este programa debe contar la direccin del Cloud o nube que configuraremos despus en
GNS3 y a su vez tiene que especificarse la direccin de donde ejecutara el archivo ASDM para
la interfaz grfica del firewall.
CONFIGURACION DEL FIREWALL ASA EN GNS3
En el Quemu de GNS3 integramos ASA con la siguiente configuracin

Nombre: ASA8.4 (puede ser cualquier cosa)

RAM: 1024MB
NIC: 6
Modelo NIC: e1000
Opciones QEMU: ninguno -vnc -vga ninguno -m 1024
auto -icount -hdachs 980,16,32

ASA AJUSTES ESPECFICOS

Initrd: Ubicacin del archivo Initrd

Kernel: Localizacin de software Kernel (ASA)
Kernel CMD: lnea de cmd Kernel: -append
ide_generic.probe_mask = 0x01 ide_core.chs = 0.0:
980,16,32 consola nousb auto = ttyS0,9600 bigphysarea= 65536

Al final la configuracin debe ser la siguiente

13

Realizado este paso configuraremos la siguiente topologa en GNS3

14

AGREGANDO EL Cloud (H Terminal)

Antes de agregar la configuracin al cloud debemos estar conectados con la red de bucle
invertido que configuramos.

Ahora para agregar el nodo a nuestra topologa debemos de especificar el IO del adaptador de
red por el cual estar conectado: En este caso sera nio_gen_eth: Ethernet 2

15

16

Una vez realizada la configuracin, realizamos la conexin de los equipos (Cloud 2, Switch
Ethernet, Firewall ASA)

Seguidamente iniciamos el Firewall, y configuramos ASA

CONFIGURACION DE ASA
Primero que nada iniciamos ASA

Activamos ASA
Borramos la memoria flash

17

Una vez borrado la memoria flash procedemos a configurar la interface gigaethernet 1, le

asignamos la direccin 10.10.10.1/24 y hacemos no shutdown

18

Comprobamos la conexin con el nodo haciendo ping desde el firewall a cloud

Configuramos el acceso de 10.10.10.3 para el navegador

19

Una vez terminada toda nuestra configuracin la memoria flash debe contener

Abrimos el navegador
Y configuramos los certificados creados previamente cuando intentemos acceder a
https://10.10.10.3
Y el resultado final o la interfas del Firewall es la siguiente

20

21

22