Hace unas semanas publique un post explicando la conveniencia de tener un firewall de los de verdad, recomendando Cisco como la mejor opción y dando instrucciones sobre como configurar un firewall Cisco de la serie Pix, en esta ocasión voy a explicar como hacer exactamente lo mismo aunque en este caso con un Firewall de la serie que sustituyó a la serie Pix, cuya mejora más evidente es la de proporcionar mayor eficiencia (potencia/consumo), una seguridad más avanzada y un mayor ancho de banda (salida 100mbs en lugar de los 10mbs del Pix).
En este ejemplo voy a usar la red 10.0.0.0 como red local (la que está por detrás del firewall), y como red externa la 192.168.1.0 porque es la que utiliza mi router adsl para asignar direcciones internas, ambas con mask 255.255.255.0
Tanto si lo compráis nuevo como si es de segunda mano, lo normal es que venga configurado con sus valores de fábrica. Configurarlo a través de su entorno web es facilísimo si utilizamos su asistente, por lo que voy a explicar como hacerlo desde la consola para dar cobertura a aquellos casos en los que sea la única manera de hacerlo.
Si compráis un firewall usado, lo normal es que os lo entreguen con su configuración de fábrica, lo que obliga a utilizar un cable de consola para su configuración.
El cable de consola no es otra cosa que un cable de comunicaciones que por el lado del router tiene una clavija RJ45, y que por el lado del ordenador tiene un puerto serie o usb.
Se puede comprar en cualquier tienda de electrónica/informática, por unos 10 euros.
Una vez conectado el cable al Firewall y a nuestro ordenador, necesitaremos usar una aplicación de emulación de terminal.
Una vez iniciada la sesión del terminal, y habiendo accedido al router recomiendo (por seguridad) restablecer los valores de fábrica:
enable
Se nos pedirá el password, lo informaremos y pulsaremos ENTER
config t
write erase
Se pedirá que confirmemos.
reload
Nuestro Firewall se reiniciará.
enable
Se nos pedirá el password, lo informaremos y pulsaremos ENTER
config t
Estableceremos las direcciones ip interna y externa
ip address inside 10.0.0.4 255.255.255.0
ip address outside 192.168.1.1 255.255.255.0
Estableceremos los niveles de seguridad, máximo en exterior, mínimo en interior
nameif ethernet0 outside security0
nameif ethernet1 inside security100
Configuraremos la ruta de acceso a internet desde los ordenadores de nuestra red
nat (inside) 1 10.0.0.0 255.255.255.0
global (outside) 1 interface
Informaremos la ip interna del router a la que poder acceder con telnet, por ejemplo 10.0.0.4
telnet 10.0.0.4 255.255.255.0
Activaremos acceso web a la configuración (permitirá configuración web con https://)
http server enable
http 10.0 .0.0 255.255.255.0 inside
Activaremos el acceso a través de ssh (permitirá gestión remota con ssh desde interior red)
ssh 10.0.0.0 255.255.255.0 inside
Asignaremos un password, por ejemplo ELALBIR
password ELALBIR
Guardaremos la configuración
write mem
Forzaremos el arranque del sistema
reload
Se reiniciará el Firewall, permitiendo a partir de ese momento la configuración remota desde cualquier equipo de nuestra red:
telnet 10.0.0.4
ssh root@10.0.0.4
o a través del navegador web con https://10.0.0.4
He intentado simplificar al máximo las instrucciones lo que puede hacer que dependiendo del nivel de conocimientos algún usuario pueda tener alguna duda, o quedarse atascado en alguno de los pasos. Si necesitáis cualquier tipo de ayuda no dudéis en contactarme.