Abbiamo già visto come configurare il router Cisco SOHO 77 (alias Cisco 827). Adesso vedremo come proteggere la nostra LAN configurando un firewall di casa Cisco, ovvero il PIX 501 (vedi immagine sottostante).
Per prima cosa settiamo il nome ed il livello di sicurezza associato all’interfaccia esterna ed all’interfaccia interna che stiamo utilizzando (dopo essere entrati nella modalità di configurazione digitando i comandi ena e successivamente conf t):
pixfirewall(config)# nameif ethernet0 outside security0
pixfirewall(config)# nameif ethernet1 inside security100
Come potete facilmente notare, l’interfaccia ethernet0 l’abbiamo chiamata “outside” e ad essa abbiamo associato il livello di sicurezza “security0”. Discorso simile riguarda l’interfaccia ethernet1.
Impostiamo ora la velocità delle interfacce precedentemente menzionate:
pixfirewall(config)# interface ethernet0 auto
pixfirewall(config)# interface ethernet1 100full
Nella fattispecie, l’interfaccia esterna negozia automaticamente la velocità in base al dispositivo ad essa collegato, mentre l’interfaccia interna lavora alla velocità di 100 Mbit/sec in full duplex.
Impostiamo la password per la modalità enable:
pixfirewall(config)# enable password <vostrapass>
Tale password verrà salvata all’interno del file di configurazione in forma cifrata.
Definiamo l’hostname per il nostro firewall:
pixfirewall(config)# hostname <hostname_del_firewall>
Associamo all’interfaccia esterna ed a quella interna i rispettivi indirizzi IP e subnet mask:
pixfirewall(config)# ip address outside 192.168.100.2 255.255.255.252
pixfirewall(config)# ip address inside 172.30.4.1 255.255.255.0
Ovviamente la scelta della classe privata di indirizzi IP e della relativa maschera di sottorete è a vostra discrezione.
Definiamo adesso l’ARP timeout, ovvero ogni quanti secondi la tabella dei MAC address appartenente al nostro firewall deve essere svuotata:
pixfirewall(config)# arp timeout 14400
Definiamo, inoltre, la cosiddetta MTU, ovvero la massima dimensione dei pacchetti che possono transitare attraverso l’interfaccia:
pixfirewall(config)# mtu outside 1500
pixfirewall(config)# mtu inside 1500
Ora è necessario andare a mettere mano su una delle parti più delicate della nostra configurazione, ovvero il NAT. Tramite il NAT, infatti, sarà possibile tradurre un indirizzo privato appartenente alla nostra rete in un indirizzo pubblico, permettendoci di navigare ed accedere alle risorse dislocate su Internet. Per fare ciò occorre digitare:
pixfirewall(config)# global (outside) 1 interface
pixfirewall(config)# nat (inside) 1 172.30.4.0 255.255.255.0
In questo modo stiamo imponendo al firewall di tradurre gli indirizzi privati appartenenti alla LAN interna (172.30.4.0/24) nell’indirizzo associato all’interfaccia esterna, ovvero 192.168.100.2. Sarà il router, successivamente, ad effettuare un nuovo NAT sull’indirizzo privato dell’interfaccia outside, traducendolo nell’indirizzo pubblico assegnatoci dall’ISP.
Per poter uscire su Internet è inoltre necessario definire nell’ambito del firewall una rotta statica mediante il seguente comando:
pixfirewall(config)# route otuside 0.0.0.0 0.0.0.0 192.168.100.1
In questo modo stiamo dicendo al firewall di instradare tutto il traffico destinato ad un indirizzo non presente all’interno della sua tabella di routing verso l’indirizzo 192.168.100.1, ovvero il router. Sarà quindi compito del router, tramite una nuova default route, far si che il traffico venga indirizzato verso l’esterno.
Ora, supponiamo che all’interno della nostra LAN sia presente una risorsa (ad esempio un WEB server) che debba essere necessariamente contattabile dall’esterno. Ovviamente, la cosa migliore da fare in questo caso sarebbe quella di posizionare il server nella DMZ ma per semplicità tale server verrà dislocato nell’ambito della LAN stessa.
L’indirizzo IP del server è 172.30.4.2, quindi occorrerà digitare:
pixfirewall(config)# static (inside, outside) 192.168.100.2 172.30.4.2 netmask 255.255.255.0 0 0
dove l’indirizzo IP dell’interfaccia outside deve essere inserito sempre PRIMA dell’indirizzo privato associato al server.
Definiamo adesso il tipo di traffico che deve essere accettato in ingresso all’interfaccia esterna. E’ possibile fare ciò mediante un’ACL nominale:
pixfirewall(config)# access-list inbound permit tcp any host 192.168.100.2 eq 80
pixfirewall(config)# access-list inbound permit icmp any host 192.168.100.2
In tal modo il nostro Web server potrà essere contattato attraverso la porta 80 e risponderà ai ping eseguiti dall’esterno. Non ci resta che associare l’ACL appena creata all’interfaccia di interesse:
pixfirewall(config)# access-group inbound in interface outside
Sarebbe utile, inoltre, consentire la gestione da remoto del firewall, senza doversi collegare necessariamente a tale dispositivo mediante cavo console (altrimenti conosciuto come rollover). Per fare ciò è necessario abilitare Telnet:
pixfirewall(config)# telnet 172.30.4.0 255.255.255.0 inside
ovvero stiamo imponendo al firewall di accettare esclusivamente le connessioni telnet provenienti dall’interfaccia interna, nella fattispecie dagli host della LAN.
pixfirewall(config)# telnet timeout 5
con questo comando il firewall chiuderà qualunque sessione Telnet dopo 5 minuti di inattività.
Occorre notare che il nostro firewall (per default) non permette il transito di echo-reply provenienti dall’interfaccia “outside” e dirette verso l’interfaccia “inside”. Ciò significa che qualunque ping originato dalla LAN e diretto verso l’esterno non potrà ricevere risposta. Per evitare ciò, basta insirire le seguenti regole all’ACL “inbound” precedentemente creata:
access-list inbound permit icmp any any echo-reply
access-list inbound permit icmp any any time-exceeded
access-list inbound permit icmp any any unreachable
access-list inbound permit icmp any any source-quench
Bene, salviamo la nostra configurazione ed il gioco è fatto:
write memory
La guida termina qui. Nei prossimi post vedremo come gestire il nostro firewall mediante PDM (PIX Device Manager). A presto.