Como configurar un Firewall Cisco Pix

firewall

A continuación voy a intentar detallar los pasos a seguir para configurar un Firewall Cisco de la serie Pix, una serie descatalogada pero suficientemente actual en lo que a seguridad se refiere, con un nivel de protección  muy superior a la que podamos encontrar en los routers que la mayoría de usuarios tienen en sus hogares/empresas, en su mayor parte regalados por sus proveedores de internet, más centrados en la conexión a internet y en dar conectividad wifi que en la seguridad de los datos.

firewall-2

Particularmente, en los tiempos que corren, y con el nivel de digitalización de nuestros hogares y empresas creo que es fundamental contar con un firewallen cualquier red por pequeña que sea, preferiblemente de la marca Cisco, líder indiscutible en este segmento.

No soy partidario de programas de los que se hacen llamar firewalls, ya que además de ser una importante fuente de problemas consumen muchos más recursos y son menos eficientes que un dispositivo dedicado exclusivamente a esta tarea.

Además de para concienciar sobre la importancia de este tipo de dispositivos, he querido compartir estas instrucciones al sorprenderme la falta de recursos/páginas explicando este tipo de procesos de una manera sencilla, especialmente si además queremos que estén en castellano.

ciscopix501Cisco PIX 501

La única limitación del PIX 501 es su velocidad ya que funciona a 10mbs, aunque probablemente dicha velocidad sea superior a la de la adsl de la mayoría de usuarios. Para los que  necesiten una velocidad superior a 10mbs recomiendo comprar un modelo superior de la misma serie o directamente un Cisco Asa 5505.

ciscoasa

Cisco ASA 5505

Un cisco PIX 501 se puede comprar en Ebay por unos 35 euros, y  un Asa 5505 por unos 250 euros, ello no quiere decir que el Asa sea muchísimo mejor, la diferencia de precio se debe a que el ASA tiene mayores prestaciones, lo que le permite tener muchos más usuarios conectados, gestionar un mayor tráfico y ser capaz de crear conexiones oficina/oficina más rápidas y seguras, funcionalidades  que la mayor parte de los usuarios normalmente no necesitan.

Si compráis un firewall usado, lo normal es que nos lo entreguen con su configuración de fábrica, lo que obliga a utilizar un cable de consola para su configuración.

consola-rack

El cable de consola no es otra cosa que un cable de comunicaciones que por el lado del router tiene una clavija RJ45, y que por el lado del ordenador tiene un puerto serie o usb.

Se puede comprar en cualquier tienda de electrónica/informática, por unos 10 euros.

Una vez conectado el cable al Firewall y a nuestro ordenador, necesitaremos usar una aplicación de emulación de terminal.

Una vez iniciada la sesión del terminal, y habiendo accedido al router recomiendo (por seguridad) restablecer los valores de fábrica:

enable

Se nos pedirá el password, lo informaremos y pulsaremos ENTER

config t

write erase

Se pedirá que confirmemos.

reload

Nuestro Firewall se reiniciará.

enable

Se nos pedirá el password, lo informaremos y pulsaremos ENTER

config t

Estableceremos las direcciones ip interna y externa

ip address inside 10.0.0.4 255.255.255.0

ip address  outside 192.168.1.1  255.255.255.0

Estableceremos los niveles de seguridad, máximo en exterior, mínimo en interior

nameif  ethernet0 outside security0

nameif ethernet1 inside security100

Configuraremos la ruta de acceso a internet desde los ordenadores de nuestra red

nat (inside) 1 10.0.0.0 255.255.255.0

global (outside) 1 interface

Informaremos la ip interna del router a la que poder acceder con telnet, por ejemplo 10.0.0.4

telnet 10.0.0.4 255.255.255.0

Activaremos acceso web a la configuración (permitirá configuración web con https://)

http server enable

http 10.0 .0.0 255.255.255.0 inside

Activaremos el acceso a través de ssh (permitirá gestión remota con ssh desde interior red)

ssh 10.0.0.0 255.255.255.0 inside

Asignaremos un password, por ejemplo ELALBIR

password  ELALBIR

Guardaremos la configuración

write mem

Forzaremos el arranque del sistema

reload

Se reiniciará el Firewall, permitiendo a partir de ese momento la configuración remota desde cualquier equipo de nuestra red:

telnet 10.0.0.4

ssh root@10.0.0.4

o a través del navegador web con https://10.0.0.4 , aunque os adelanto que la versión de Java instalada en este modelo es incompatible con los navegadores actuales por lo que esta opción solo la tendréis disponible en ordenadores que por ejemplo tengan Windows Xp con versiones de Explorer o Firefox de aquellos años.

He intentado simplificar al máximo las instrucciones lo que puede hacer que dependiendo del nivel de conocimientos algún usuario pueda tener alguna duda, o quedarse atascado en alguno de los pasos. Si necesitáis cualquier tipo de ayuda no dudéis en contactarme.