A continuación voy a intentar detallar los pasos a seguir para configurar un Firewall Cisco de la serie Pix, una serie descatalogada pero suficientemente actual en lo que a seguridad se refiere, con un nivel de protección muy superior a la que podamos encontrar en los routers que la mayoría de usuarios tienen en sus hogares/empresas, en su mayor parte regalados por sus proveedores de internet, más centrados en la conexión a internet y en dar conectividad wifi que en la seguridad de los datos.
Particularmente, en los tiempos que corren, y con el nivel de digitalización de nuestros hogares y empresas creo que es fundamental contar con un firewall en cualquier red por pequeña que sea, preferiblemente de la marca Cisco, líder indiscutible en este segmento.
No soy partidario de programas de los que se hacen llamar firewalls, ya que además de ser una importante fuente de problemas consumen muchos más recursos y son menos eficientes que un dispositivo dedicado exclusivamente a esta tarea.
Además de para concienciar sobre la importancia de este tipo de dispositivos, he querido compartir estas instrucciones al sorprenderme la falta de recursos/páginas explicando este tipo de procesos de una manera sencilla, especialmente si además queremos que estén en castellano.
Cisco PIX 501
La única limitación del PIX 501 es su velocidad ya que funciona a 10mbs, aunque probablemente dicha velocidad sea superior a la de la adsl de la mayoría de usuarios. Para los que necesiten una velocidad superior a 10mbs recomiendo comprar un modelo superior de la misma serie o directamente un Cisco Asa 5505.
Cisco ASA 5505
Un cisco PIX 501 se puede comprar en Ebay por unos 35 euros, y un Asa 5505 por unos 250 euros, ello no quiere decir que el Asa sea muchísimo mejor, la diferencia de precio se debe a que el ASA tiene mayores prestaciones, lo que le permite tener muchos más usuarios conectados, gestionar un mayor tráfico y ser capaz de crear conexiones oficina/oficina más rápidas y seguras, funcionalidades que la mayor parte de los usuarios normalmente no necesitan.
Si compráis un firewall usado, lo normal es que nos lo entreguen con su configuración de fábrica, lo que obliga a utilizar un cable de consola para su configuración.
El cable de consola no es otra cosa que un cable de comunicaciones que por el lado del router tiene una clavija RJ45, y que por el lado del ordenador tiene un puerto serie o usb.
Se puede comprar en cualquier tienda de electrónica/informática, por unos 10 euros.
Una vez conectado el cable al Firewall y a nuestro ordenador, necesitaremos usar una aplicación de emulación de terminal.
Una vez iniciada la sesión del terminal, y habiendo accedido al router recomiendo (por seguridad) restablecer los valores de fábrica:
enable
Se nos pedirá el password, lo informaremos y pulsaremos ENTER
config t
write erase
Se pedirá que confirmemos.
reload
Nuestro Firewall se reiniciará.
enable
Se nos pedirá el password, lo informaremos y pulsaremos ENTER
config t
Estableceremos las direcciones ip interna y externa
ip address inside 10.0.0.4 255.255.255.0
ip address outside 192.168.1.1 255.255.255.0
Estableceremos los niveles de seguridad, máximo en exterior, mínimo en interior
nameif ethernet0 outside security0
nameif ethernet1 inside security100
Configuraremos la ruta de acceso a internet desde los ordenadores de nuestra red
nat (inside) 1 10.0.0.0 255.255.255.0
global (outside) 1 interface
Informaremos la ip interna del router a la que poder acceder con telnet, por ejemplo 10.0.0.4
telnet 10.0.0.4 255.255.255.0
Activaremos acceso web a la configuración (permitirá configuración web con https://)
http server enable
http 10.0 .0.0 255.255.255.0 inside
Activaremos el acceso a través de ssh (permitirá gestión remota con ssh desde interior red)
ssh 10.0.0.0 255.255.255.0 inside
Asignaremos un password, por ejemplo ELALBIR
password ELALBIR
Guardaremos la configuración
write mem
Forzaremos el arranque del sistema
reload
Se reiniciará el Firewall, permitiendo a partir de ese momento la configuración remota desde cualquier equipo de nuestra red:
telnet 10.0.0.4
ssh root@10.0.0.4
o a través del navegador web con https://10.0.0.4
He intentado simplificar al máximo las instrucciones lo que puede hacer que dependiendo del nivel de conocimientos algún usuario pueda tener alguna duda, o quedarse atascado en alguno de los pasos. Si necesitáis cualquier tipo de ayuda no dudéis en contactarme.
hola buena, estuve leyendo tu articulo y la verda que me oriento mucho en este mundo de los router, una pregusta…en la empresa que trabajo el que configuaraba este Cisco PIX 501 se llevo la clave .. como hago para resetearlo y como accedo a dicho router
hola buenas, el articulo me sirvio de mucho, quisiera hacerte otra consulta como hago para resetear la pass de dicho router, y con que emulo una terminal, y cual es las pass por defecto.. desde ya muchas gracia
Hola Alejandro, te adjunto un link donde se explica paso a paso como hacer exactamente eso:
http://www.cisco.com/c/en/us/support/docs/security/pix-500-series-security-appliances/8529-34.html
Espero que te sirva de ayuda, si te atascas en algún paso no dudes en contactarme.
Salu2
Santi