Configuración basica PIX

Para asegurarnos de que estamos comenzando con una configuracion limpia podemos usar "write erase" para borrar la configuracion, y "reload" para reiniciar el firewall. Todo esto deberemos hacerlo conectados al PIX con un cable de consola ya que despues no tendremos configurada una direccion IP para acceder por red.

La primera vez que accedamos al PIX lo haremos en modo no privilegiado, y nos aparecera el ">" en el prompt, para pasar a modo privilegiado usaremos el comando "enable", y el prompt cambiara a "#". Al hacer esto por primera vez, no nos pedira password ya que aun no lo hemos configurado. Si queremos pasar a modo de configuracion utilizaremos el comando "configure terminal" y el prompt cambiara a "(config)#".

pix> enable
pix# configure terminal
pix(config)# quit
pix# disable
pix>

El siguiente paso sera cambiar el hostname del PIX y configurar los passwords del modo no privilegiado y el modo privilegiado.

pix(config)# hostname MundoCisco
MundoCisco(config)# password noLaDigas
MundoCisco(config)# enable password noLaDigasTampoco

Al momento de configurar las interfaces de red del PIX debemos tener en cuenta el nivel de seguridad de cada una de ellas. El nivel de seguridad indica la confianza que se tiene de una interfaz respecto a otra en relacion a la red que tiene conectada. Por ejemplo, una interfaz conectada a Internet va a ser de menor confianza que otra conectada a nuestra red privada.

Algo muy importante sobre los niveles de seguridad, es que una interfaz con un nivel de seguridad alto, puede acceder a otra interfaz con un nivel de seguridad bajo, y una interfaz con un nivel de seguridad bajo, no puede acceder a otra interfaz con un nivel de seguridad alto.

La interfaz de red conectada a la red interna, en adelante "inside", poseera el nivel de seguridad mas alto que corresponde a 100. Mientras que la interfaz conectada a Internet, en adelante "outside", poseera el nivel de seguridad mas bajo que corresponde a 0. Estas asignaciones son las default del PIX, y aunque podemos cambiarlas no es recomendable hacerlo.

Una curiosidad, es que la interfaz Ethernet 0 siempre sera la outside, y la Ethernet 1 siempre sera la inside. Cisco lo definio de esta forma, para asociar el 0 con la "O" de outside, y el 1 con la "I" de inside.

Los niveles de seguridad del 1 al 99, pueden ser asignados a otras interfaces segun el nivel de confianza que le tengamos. Por ejemplo, a una red DMZ podemos asignarle el nivel de seguridad 75, y el nombre "dmz". Esto lo hacemos usando el comando "nameif".

MundoCisco(config)# nameif ethernet2 dmz sec50
MundoCisco(config)# show nameif
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security75
nameif ethernet3 dmz2 security50

Luego debemos utilizar el comando "interface", para configurar la velocidad de la interfaz y que quede completamente activa.

MundoCisco(config)# interface ethernet2 100full

Cada interfaz del PIX debe poseer una direccion IP. Esto lo configuramos con el comando "ip address", donde a la interfaz la podemos llamar con el nombre que le pusimos, por ejemplo "dmz", en lugar del nombre de hardware "ethernet2".

MundoCisco(config)# ip address dmz 192.168.0.1 255.255.255.0

Para ver la configuracion actual que esta corriendo en la RAM usamos el comando "show running-config", para guardar la configuracion en la memoria Flash usamos el comando "write memory", y para ver la configuracion de la Flash usamos el comando "show startup-config".

Si queremos guardar una copia de la configuracion, podemos utilizar el comando "write net" para enviarla a un TFTP, o hacer un "show run" y copiar la salida manualmente a un archivo.

MundoCisco# write net 10.0.0.10:archivo.conf
Building configuration...
TFTP write 'archivo.conf' at 10.0.0.10 on interface 1
[OK]

11 comentarios:

  1. gracias por la guia, excelente el nivel de detalle y se agradece la indexacion de los comandos.

    ResponderEliminar
  2. De nada, siempre se intenta hacer lo mejor posible.

    ResponderEliminar
  3. gracias por la información.
    muy bueno el blog.
    saludos.

    ResponderEliminar
  4. hola, estoy batallando en la colocacion de los comandos para establecer las interfaces e1,e0,e2 sobre el simulador GNS3 me marca la ventana de comandos este error:

    PIX(config)# nameif ethernet2 dmz sec50
    ^
    ERROR: % Invalid input detected at '^' marker.

    Sabran cual es el problema?. enthernet 2 esta conectado a un router asi como e1 y e0. mi correo es: j.asp@live.com.mx espero me puedan ayudar. Gracias

    ResponderEliminar
  5. el error que marca ^ es sobre la parte del nameif y no sobre el pix ok. saludos

    ResponderEliminar
  6. Hola, estoy tratando de configurar una vpn en un pix 515, del lado del "proveedor/servidor" me indican que tengo que configurar mi lado con una ip publica para el peer y con otra ip publica para el dom de encripcion.
    No tengo idea de como implementar eso.
    Me podrias ayudar por favor?

    ResponderEliminar
  7. Mandame un correo, con todo la informacion a blog [@] mundocisco.com y lo vemos.

    ResponderEliminar
  8. Hola:
    Gracias por la ayuda.
    ¿Es posible asignar varias IP's al interface "outside" de un 515E.
    Mi ISP me ha puesto una conexión con 6 IP's públicas y no se si puedo configurarlas en el PIX para (por ejemplo) enrutar en función de la IP.
    Gracias por tu ayuda.
    Diego.

    ResponderEliminar
  9. Si que es posible usar varias ip's, no tienes que tener ningún tipo de problema.

    ResponderEliminar
  10. ¿como puedo ingresar el interfaz grafica al pix sin usar sdm. Ingresando una dirección ip en la url? o distintas formas de ingresar a la interfaz grafica.

    ResponderEliminar