LAB: Configuração do PIX Firewall

By | 9 de julho de 2011

Neste tutorial, é possivel configurar e efetuar o troubleshooting de todas as configurações que serão feitas. O Tutorial não foi feito por mim, o crédito é do Profº Aurio Tenório que ministra a matéria de Laboratório de Redes no Centro Universitário SENAC.
Efetuei toda a configuração utilizando o GNS3.

Espero que sirva para todos que tem a necessidade ( ou simplesmente o intuito de aprender ) de aprender como efetuar uma configuração básica do Firewall PIX.

Façam bom proveito !!!

 

 

Lab.  – Configuração básica do PIX

Objetivos:
– Executar comandos de checagem
– Configurar as interfaces do security appliance
– Criar um pool global de globais e configurar NAT
– Configurar roteamento através do appliance
– Testar a conectividade das interfaces inside, outside e DMZ
– Direcionar o log de eventos para um servidor syslog

Topologia

 

Laboratório
Tarefa 1: Comandos gerais
Complete os passos seguintes para se familiarizar com os comandos iniciais de checagem e configuração. Fique bastante atento para interpretar corretamente o resultado dos comandos e requisite o auxílio do professor para sanar as dúvidas.

——————————————————————————–
1. Acesse o pix FW1. No primeiro acesso ao device, você é direcionado ao prompt de usuário. Neste prompt, apenas alguns comandos de checagem podem ser executados. Você não consegue configurar o device neste prompt.

pixfirewall>

——————————————————————————–
2. Exiba a lista de comandos deste prompt, digitando o ponto de interrogação.

pixfirewall> ?

clear Reset functions
enable Turn on privileged commands
exit Exit from the EXEC
help Interactive help for commands
login Log in as a particular user
logout Exit from the EXEC
ping Send echo messages
quit Exit from the EXEC
show Show running system information
traceroute Trace route to destination

——————————————————————————–
3. Entre no modo privilegiado com o comando enable. Quando requisitado por uma senha (password), apenas tecle Enter.

pixfirewall> enable
password:
pixfirewall#

——————————————————————————–
4. Exiba a lista de comandos do prompt privilegiado.
DICA: Pressione a barra de espaços para girar a página ou pressione Q (quit) para cancelar o resultado da saída.

pixfirewall# ?

aaa-server Specify a AAA server
activation-key Modify activation-key
asdm Disconnect a specific ASDM session
blocks Set block diagnostic parameters
capture Capture inbound and outbound packets on one or
more interfaces
cd Change current directory
clear Reset functions
client-update Execute client updates on all or specific
tunnel-groups
clock Manage the system clock
configure Configure using various methods
copy Copy from one file to another
cpu general CPU stats collection tools
crashinfo Crash information
crypto Execute crypto Commands
debug Debugging functions (see also ‘undebug’)
delete Delete a file
dir List files on a filesystem
disable Exit from privileged mode
downgrade Downgrade the file system and reboot
dynamic-access-policy-config Activates the DAP selection configuration file.
eou EAPoUDP
erase Erase a filesystem

——————————————————————————–
5. O comando show running-config mostra a configuração corrente sendo executada pelo device.
DICA: Use a tecla TAB para completar os comandos. Você também pode abreviar os comandos.

pixfirewall# show running-config (show run)
: Saved
:
PIX Version 8.0(3)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet1
shutdown
no nameif
no security-level
no ip address
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8155ed0f27cc702c56ac2f6a39becc99
: end

——————————————————————————–
6. Execute o comando show version para identificar as capacidades do device e o tipo de licença do software. Este comando mostra também a quantidade de memória que o device possui, o número de interfaces, assim como a versão do PixOS sendo executada.

pixfirewall# show version

Cisco PIX Security Appliance Software Version 8.0(3)

Compiled on Tue 06-Nov-07 19:50 by builders
System image file is “Unknown, monitor mode tftp booted image”
Config file at boot was “startup-config”

pixfirewall up 3 mins 24 secs

Hardware: PIX-525, 128 MB RAM, CPU Pentium II 1 MHz
Flash E28F128J3 @ 0xfff00000, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

0: Ext: Ethernet0 : address is 0000.ab85.8e00, irq 9
1: Ext: Ethernet1 : address is 0000.ab85.8e01, irq 11
2: Ext: Ethernet2 : address is 0000.ab85.8e02, irq 11
3: Ext: Ethernet3 : address is 0000.abcd.ef03, irq 11
4: Ext: Ethernet4 : address is 0000.abcd.ef04, irq 11

Licensed features for this platform:
Maximum Physical Interfaces : 10
Maximum VLANs : 100
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited

This platform has an Unrestricted (UR) license.

Serial Number: 808062467
Running Activation Key: 0x8f104b04 0xc48e0e7f 0xfcdfd51e 0x36bc5084
Configuration has not been modified since last system restart.

——————————————————————————–
7. O comando show history mostra o histórico de comandos executados.

pixfirewall# show history
enable
show running-config
show version
show history

——————————————————————————–
8. Qualquer configuração deve ser executada a partir do prompt de configuração global. Entre neste prompt com o comando configure terminal e configure o hostname do PIX para FIREWALL1.

pixfirewall# configure terminal
pixfirewall(config)# hostname FIREWALL1
FIREWALL1(config)#

——————————————————————————–
9. A feature names permite que você atribua nomes aos devices ao invés de referenciar seus endereços IP. Para usar essa feature, você precisa ativá-la com o comando names.

FIREWALL1(config)# names

——————————————————————————–
10. Atribua o nome bastionhost para o servidor web na DMZ.

FIREWALL1(config)# name 172.16.1.10 bastionhost

——————————————————————————–
11. Atribua o nome insidehost para o PC da rede interna.

FIREWALL1(config)# name 10.0.1.3 insidehost

——————————————————————————–
12. Salve suas configurações para a memória flash.

FIREWALL1(config)# write memory
Building configuration…
Cryptochecksum: e6910082 d22f2fac ce83bbde cbc96b56

1902 bytes copied in 1.30 secs (1902 bytes/sec)
[OK]

——————————————————————————–
Tarefa 2: Configuração das interfaces

13. Agora chegou o momento de configurar as interfaces do pix. Para configurar uma interface, no prompt de configuração global, use o comando interface mais o nome e número da interface. Comece configurando a interface Ethernet0 (inside). Note a mudança de prompt para (config-if) sinalizando que você está configurando uma interface.

FIREWALL1(config)# interface ?

configure mode commands/options:
Ethernet IEEE 802.3

FIREWALL1(config)# interface ethernet ?

configure mode commands/options:
Ethernet interface number
FIREWALL1(config)# interface ethernet 0
FIREWALL1(config-if)#

NOTA: Use o ponto de interrogação sempre que precisar de auxílio para complementar um comando, ou mesmo quando estiver em dúvida quanto à palavra correta de um comando. Por exemplo, para saber quantos comandos começam com name, complemente a palavra name com um ponto de interrogação, sem espaços, conforme ilustrado a seguir.

FIREWALL1(config-if)# name?

interface mode commands/options:
nameif

configure mode commands/options:
name names

——————————————————————————–
14. Cinco configurações precisam ser executadas para colocar uma interface operacional: ip address, speed, duplex, security-level e nameif.

IP address: Endereço IP da interface.
Speed: Velocidade da interface (10 ou 100 Mbps, 1 Gbps (ASA) ou auto, para autonegociação).
Duplex: Capacidade duplex. Pode assumir half, full ou auto, para autonegociação. Recomendamos sempre configurar a interface para trabalhar em full-duplex.
Security-level: Nível de segurança entre 0 e 100, onde 100 é o nível máximo de segurança e 0 o nível mínimo. Tráfego inbound (entrando) significa tráfego fluindo de uma interface de security-level mais baixo para uma interface com security-level mais alto. Tráfego outbound (saindo) significa tráfego fluindo de uma interface com security-level mais alto para uma interface com security-level mais baixo. O tráfego nunca flui diretamente de uma interface com security-level mais baixo para uma interface com security-level mais alto sem liberação explícita (access-lists). É automaticamente bloqueado pelo PIX. Além disso, interfaces com níveis de segurança iguais não são capazes de se comunicar.
Nameif: Nome da interface. Dois nomes são padronizados: inside e outside. A interface inside (interna) assume automaticamente o security-level 100. A interface outside (de fora) assume automaticamente o security-level 0. Outro nome bastante comum para uma interface é DMZ, que significa zona desmilitarizada. Na DMZ posicionamos os servidores de acesso público. Qualquer interface diferente de inside assume security-level 0.
Portanto, configure estes cinco parâmetros na interface Ethernet 0 (inside) do PIX FW1. Oriente-se pela topologia para identificar o nameif e endereço IP da interface. Ao finalizar, ligue a interface com o comando no shutdown.

FIREWALL1(config-if)# nameif inside
INFO: Security level for “inside” set to 100 by default.
FIREWALL1(config-if)# ip address 10.0.1.1 255.255.255.0
FIREWALL1(config-if)# speed 100
FIREWALL1(config-if)# duplex full
FIREWALL1(config-if)# no shutdown
FIREWALL1(config-if)# exit

——————————————————————————–
15. Confira se a interface está administrativamente up e operacional.

FIREWALL1(config)# show interface eth0
Interface Ethernet0 “inside”, is up, line protocol is up
Hardware is i82559, BW 100 Mbps, DLY 100 usec
Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
MAC address 0000.ab85.8e00, MTU 1500
IP address 10.0.1.1, subnet mask 255.255.255.0
128 packets input, 0 bytes, 0 no buffer
Received 128 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max packets): hardware (0/1) software (0/128)
output queue (curr/max packets): hardware (0/0) software (0/0)
Traffic Statistics for “inside”:
128 packets input, 76758 bytes
0 packets output, 0 bytes
128 packets dropped
1 minute input rate 2 pkts/sec, 1279 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 2 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec

——————————————————————————–
16. Confira as configurações da interface com o comando show running-config interface eth0. Diferente de um router, um pix permite a leitura de seções do arquivo de configuração.

FIREWALL1(config)# show run interface eth0
!
interface Ethernet0
speed 100
duplex full
nameif inside
security-level 100
ip address 10.0.1.1 255.255.255.0
FIREWALL1(config)#

——————————————————————————–
17. Configure também as interfaces Ethernet 1 (DMZ) e Ethernet 2 (outside). Defina o security-level da interface eth1 em 50.

FIREWALL1(config)# interface ethernet1
FIREWALL1(config-if)# nameif dmz
INFO: Security level for “dmz” set to 0 by default.
FIREWALL1(config-if)# security-level 50
FIREWALL1(config-if)# ip address 172.16.1.1 255.255.255.0
FIREWALL1(config-if)# speed 100
FIREWALL1(config-if)# duplex full
FIREWALL1(config-if)# no shutdown
FIREWALL1(config-if)# interface eth2
FIREWALL1(config-if)# nameif outside
INFO: Security level for “outside” set to 0 by default.
FIREWALL1(config-if)# ip address 200.0.1.1 255.255.255.0
FIREWALL1(config-if)# speed 100
FIREWALL1(config-if)# duplex full
FIREWALL1(config-if)# no shutdown
FIREWALL1(config-if)# exit

——————————————————————————–
18. Confira as configurações das interfaces.

FIREWALL1(config)# show run interface
!
interface Ethernet0
speed 100
duplex full
nameif inside
security-level 100
ip address 10.0.1.1 255.255.255.0
!
interface Ethernet1
speed 100
duplex full
nameif dmz
security-level 50
ip address 172.16.1.1 255.255.255.0
!
interface Ethernet2
speed 100
duplex full
nameif outside
security-level 0
ip address 200.0.1.1 255.255.255.0
!

——————————————————————————–
19. Garanta que as interfaces estejam ativas e operacionais.

FIREWALL1(config)# show interface
Interface Ethernet0 “inside”, is up, line protocol is up
Hardware is i82559, BW 100 Mbps, DLY 100 usec
Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
MAC address 0000.ab85.8e00, MTU 1500
IP address 10.0.1.1, subnet mask 255.255.255.0
128 packets input, 0 bytes, 0 no buffer
Received 128 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max packets): hardware (0/1) software (0/128)
output queue (curr/max packets): hardware (0/0) software (0/0)

Interface Ethernet1 “dmz”, is up, line protocol is up
Hardware is i82559, BW 100 Mbps, DLY 100 usec
Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
MAC address 0000.ab85.8e01, MTU 1500
IP address 172.16.1.10, subnet mask 255.255.255.0
128 packets input, 0 bytes, 0 no buffer
Received 128 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max packets): hardware (0/1) software (0/128)
output queue (curr/max packets): hardware (0/0) software (0/0)

Interface Ethernet2 “outside”, is up, line protocol is up
Hardware is i82559, BW 100 Mbps, DLY 100 usec
Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
MAC address 0000.ab85.8e02, MTU 1500
IP address 200.0.1.1, subnet mask 255.255.255.0
128 packets input, 0 bytes, 0 no buffer
Received 128 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
1 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max packets): hardware (0/1) software (0/128)
output queue (curr/max packets): hardware (0/1) software (0/1)

——————————————————————————–
20. Você pode usar filtros para selecionar um trecho específico da saída de um comando. Por exemplo, você poderia filtrar o resultado do comando show interface para capturar as linhas que considerar mais relevantes. No exemplo abaixo, complementando o comando show interface com pipe (|) e include foram capturadas as linhas onde aparecem as palavras Interface ou duplex ou IP ou MAC. Chamamos a expressão entre parênteses de regex (Regular Expression).

FIREWALL1(config)# show interface | include (Interface|duplex|IP|MAC)
Interface Ethernet0 “inside”, is up, line protocol is up
Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
MAC address 0000.ab33.f500, MTU 1500
IP address 10.0.1.1, subnet mask 255.255.255.0
Interface Ethernet1 “dmz”, is up, line protocol is up
Full-Duplex(Full-duplex), 10 Mbps(10 Mbps)
MAC address 0000.ab33.f501, MTU 1500
IP address 172.16.1.1, subnet mask 255.255.255.0
Interface Ethernet2 “outside”, is up, line protocol is up
Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
MAC address 0000.ab33.f502, MTU 1500
IP address 200.0.1.1, subnet mask 255.255.255.0
Interface Ethernet3 “”, is administratively down, line protocol is up
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
MAC address 0000.abcd.ef03, MTU not set
IP address unassigned
Interface Ethernet4 “”, is administratively down, line protocol is up
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
MAC address 0000.abcd.ef04, MTU not set
IP address unassigned

——————————————————————————–
21. Com o comando show ip address você confere rapidamente o nome e o endereço IP configurado na interface.

FIREWALL1(config)# show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
Ethernet0 inside 10.0.1.1 255.255.255.0 manual
Ethernet1 dmz 172.16.1.1 255.255.255.0 manual
Ethernet2 outside 200.0.1.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
Ethernet0 inside 10.0.1.1 255.255.255.0 manual
Ethernet1 dmz 172.16.1.1 255.255.255.0 manual
Ethernet2 outside 200.0.1.1 255.255.255.0 manual

——————————————————————————–
22. Com o comando show nameif você confere rapidamente o nome e os security-levels.

FIREWALL1(config)# show nameif
Interface Name Security
Ethernet0 inside 100
Ethernet1 dmz 50
Ethernet2 outside 0

——————————————————————————–
23. Use o comando show names para checar a configuração do mapeamento de IPs para nomes.

FIREWALL1(config)# show names
name 10.0.1.3 insidehost
name 172.16.1.10 bastionhost

——————————————————————————–
24. Desafio
Configure hostname, o mapeamento de nomes e as interfaces do PIX FIREWALL2.

——————————————————————————–
25. Salve suas configurações.

FIREWALL1(config)# wr
Building configuration…
Cryptochecksum: 0ceec793 2ba63ca7 26df7122 c2288916

2067 bytes copied in 1.220 secs (2067 bytes/sec)
[OK]
FIREWALL1(config)#

——————————————————————————–
Tarefa 3: Configuração de endereços globais, NAT dinâmico e roteamento

26. Comece ativando a capacidade NAT.

FIREWALL1(config)# nat-control

——————————————————————————–
27. Crie um pool global de endereços quentes (válidos). Use o comando global associando este pool à interface outside e amarrando ao ID 1. Este pool de endereços será usado para as conexões de saída. Ao final, confira as configurações.

FIREWALL1(config)# global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0

FIREWALL1(config)# show run global
global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0

——————————————————————————–
28. Configure NAT para permitir que os hosts da inside tenham acesso externo. Use o ID 1 para associar este NAT ao pool global criado anteriormente. Ao final, confira as configurações.

FIREWALL1(config)# nat (inside) 1 10.0.1.0 255.255.255.0

FIREWALL1(config)# show run nat
nat (inside) 1 10.0.1.0 255.255.255.0

NOTA: A amarração de um par de comandos nat/global se dá através do NAT ID.

——————————————————————————–
29. Agora configure uma rota default para o tráfego que sai pela interface outside usando o comando route. O comando route chama como complemento uma interface para onde o tráfego será direcionado, a rede e máscara destino e o endereço IP de próximo salto.

FIREWALL1(config)# route outside 0.0.0.0 0.0.0.0 200.0.1.2

NOTA: A maneira correta de interpretar o comando acima é a seguinte: Roteie para a interface outside tráfego para qualquer destino (0.0.0.0/0), usando como próximo salto o roteador RBB. Se quisesse rotear para uma subnet específica, bastaria substituir o endereço 0.0.0.0/0 pelo endereço e máscara da subnet.

——————————————————————————–
30. Confira a tabela de roteamento do PIX. Note que existem subnets diretamente conectadas e a rota default.

FIREWALL1(config)# show route

Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
* – candidate default, U – per-user static route, o – ODR
P – periodic downloaded static route

Gateway of last resort is 200.0.1.2 to network 0.0.0.0

C 200.0.1.0 255.255.255.0 is directly connected, outside
C 10.0.1.0 255.255.255.0 is directly connected, inside
C 172.16.1.0 255.255.255.0 is directly connected, dmz
S* 0.0.0.0 0.0.0.0 [1/0] via 200.0.1.2, outside

——————————————————————————–
31. Salve suas configurações.

FIREWALL1(config)# write memory
Building configuration…
Cryptochecksum: 3d8e471c b67f7848 ba8190e7 8664314d

2134 bytes copied in 1.190 secs (2134 bytes/sec)
[OK]

——————————————————————————–
32. Desafio
Repita o procedimento anterior de configuração e configure no FW2 um pool global de endereços, NAT inside e uma rota default. Confira as configurações.

——————————————————————————–
Tarefa 4: Configuração dos roteadores

33. Agora configure hostname e o endereço IP nos roteadores R1, R2 e RBB. Desabilite o roteamento em R1 e R2 e configure como default gateway o endereço da interface diretamente conectada do PIX.

Router> enable
Router# configure terminal
Router(config)# hostname R1
R1(config)# interface fastethernet 0/0
R1(config-if)# ip address 10.0.1.100 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)# no ip routing
R1(config)# ip default-gateway 10.0.1.1
R1(config)# end
R1# copy running-config startup-config
Destination filename [startup-config]?
Building configuration…

[OK]
R1#

—————————
Router> enable
Router# configure terminal
Router(config)# hostname R2
R2(config)# interface fastethernet 0/0
R2(config-if)# ip address 10.0.2.100 255.255.255.0
R2(config-if)# no shutdown
R2(config-if)# exit
R2(config)# no ip routing
R2(config)# ip default-gateway 10.0.2.1
R2(config)# end
R2# copy running-config startup-config

—————————
Router> enable
Router# configure terminal
Router(config)# hostname RBB
RBB(config)# interface fastethernet 0/0
RBB(config-if)# ip address 200.0.1.2 255.255.255.0
RBB(config-if)# description RBB—>FW1
RBB(config-if)# no shutdown
RBB(config-if)# interface fastethernet 0/1
RBB(config-if)# ip address 200.0.2.2 255.255.255.0
RBB(config-if)# description RBB—>FW2
RBB(config-if)# no shutdown
RBB(config-if)# interface loopback 0
RBB(config-if)# ip address 189.0.0.1 255.255.255.0
RBB(config-if)# description +++Public Web Server+++
RBB(config-if)# end
RBB# copy running-config startup-config

——————————————————————————–
Tarefa 5: Testando a conectividade

34. Um teste de conectividade bastante comum é usando pings. Vamos checar se as interfaces do FIREWALL 1 respondem às próprias requisições ping.

FIREWALL1# ping 10.0.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

FIREWALL1# ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

FIREWALL1# ping 200.0.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.0.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

——————————————————————————–
35. Teste a conectividade com os devices adjacentes. Teste a conectividade com o servidor interno FTP (insidehost)

FIREWALL1# ping insidehost
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to insidehost, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/82/130 ms

——————————————————————————–
36. Teste a conectividade com o servidor web (bastionhost).

FIREWALL1# ping bastionhost
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to bastionhost, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 70/78/80 ms

——————————————————————————–
37. Teste a conectividade com R1.

FIREWALL1# ping 10.0.1.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 120/142/160 ms

——————————————————————————–
38. Teste a conectividade com RBB.

FIREWALL1# ping 200.0.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.0.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/64/80 ms

——————————————————————————–
39. Neste ponto você já deve ser capaz de alcançar a interface outside do FIREWALL 2.

FIREWALL1# ping 200.0.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.0.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 120/174/240 ms

——————————————————————————–
40. Vamos testar se a configuração de NAT está funcionando acessando o servidor web no endereço . Lembre-se que esta é uma conexão outbound, ou seja, uma requisição partindo de uma rede mais protegida para uma rede menos protegida, ou seja, uma requisição partindo de uma rede com security-level mais alto para uma rede com security-level mais baixo. Esta conexão TCP será totalmente rastreada pelo PIX e o tráfego de retorno será permitido sem restrições, porque o pedido de conexão TCP partiu da rede interna.
Abra o navegador no host da inside e digite no campo de endereço: http://189.0.0.1. Você deve receber a página web armazenada no router RBB.

——————————————————————————–
41. Execute o comando xlate para analisar a tabela de traduções do PIX. Note que um endereço do pool global foi usado nesta conexão.

FIREWALL1# show xlate
1 in use, 9 most used
Global 200.0.1.20 Local insidehost

——————————————————————————–
42. Analise mais detalhadamente com o auxílio do comando show local-host.

FIREWALL1# show local-host insidehost
Interface outside: 0 active, 3 maximum active, 0 denied
Interface dmz: 0 active, 1 maximum active, 0 denied
Interface inside: 1 active, 1 maximum active, 0 denied
local host: ,
TCP flow count/limit = 0/unlimited
TCP embryonic count to host = 0
TCP intercept watermark = unlimited
UDP flow count/limit = 0/unlimited

Xlate:
Global 200.0.1.20 Local insidehost

——————————————————————————–
43. Desafio
Repita o teste de conectividade dos pings para o FIREWALL 2 e garanta que o servidor web externo esteja acessível aos hosts da rede interna.

——————————————————————————–
Tarefa 6: Configurando um servidor syslog

Garanta que o servidor syslog esteja ligado e que o serviço syslog esteja rodando no host da inside. Usaremos um servidor provido pela 3Com, o 3Com Daemon.
44. Comece ativando o log de eventos no pix.

FIREWALL1(config)# logging enable

——————————————————————————–
45. Identifique o servidor syslog com o comando logging host. Complemente este comando com o nome da interface onde o servidor está localizado e o endereço ou o nome do servidor.

FIREWALL1(config)# logging host inside insidehost

——————————————————————————–
46. Configure o nível das mensagens de log com o comando logging trap.

FIREWALL1(config)# logging trap ?

configure mode commands/options:
Enter syslog level (0 – 7)
WORD Specify the name of logging list
alerts
critical
debugging
emergencies
errors
informational
notifications
warnings

FIREWALL1(config)# logging trap debugging
FIREWALL1(config)# show logging
Syslog logging: enabled
Facility: 20
Timestamp logging: disabled
Standby logging: disabled
Deny Conn when Queue Full: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: disabled
Trap logging: level debugging, facility 20, 3 messages logged
Logging to inside insidehost
History logging: disabled
Device ID: disabled
Mail logging: disabled
ASDM logging: disabled
FIREWALL1(config)#

——————————————————————————–
47. Partindo de R1, dê um ping na interface inside do pix.

R1# ping 10.0.1.1
!!!!!

——————————————————————————–
48. Agora verifique se o servidor syslog capturou as mensagens resultantes dos pings.

——————————————————————————–
49. Desative o log.

FIREWALL1(config)# no logging trap
FIREWALL1(config)# no logging enable

 

 

One thought on “LAB: Configuração do PIX Firewall

Deixe uma resposta

O seu endereço de e-mail não será publicado.

This site uses Akismet to reduce spam. Learn how your comment data is processed.