SERVIDOR FIREWALL ENDIAN

POR: DEYSSY ARICAPA ARAQUE CESAR PINEDA GONZALEZ ANDRS FELIPE DEOSSA

INSTRUCTOR FERNANDO QUINTERO

ADMINISTRACION DE REDES DE COMPUTADORES REGIONAL ANTIOQUIA SENA 2009

CONTENIDO
1.

Introduccin.. 4

2. Justificacin.. 5 3. Objetivo General.. 6 4. Objetivos especficos.. 6 5. Endian 7 Caractersticas. 8 6. Escenario 9 Recursos 9 Requisitos.. 9 7. Instalacin Endian. 10 Configuracin bsica 17 Haciendo NAT... 22 8. Conclusiones.. 23

Esta obra est bajo una licencia Reconocimiento-No comercial-Compartir bajo la misma licencia 2.5 Colombia de Creative Commons. Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by-ncsa/2.5/co/ o envie una carta a Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA.

INTRODUCION

En este escenario podemos encontrar la forma de cmo implementar un firewall basado en una distribucin de Linux llamada endian, en el cual nos da la oportunidad no solo de montar un firewall sino tambin de implementar otros servicios como por ejemplo proxy, vpns entre otros. Adems si tenemos una estructura de red con DMZ (zona desmilitarizada) nos brinda la posibilidad de hacerlo mas sencillo, adems de poder administrarlo por va Web dndonos mas facilidad en el momento de implementar las reglas o polticas en nuestro firewall. La mayora de los administradores, estn en constante movimiento, por lo general no estn en contacto directo con la maquina a administrar, lo que requieren herramientas que le brinden la posibilidad de administracin remota por va Web, ssh, telnet endian cumple este requisito, permitiendo desde cualquier maquina de nuestra red acceder remotamente va Web y administrar nuestro firewall, ahorrando que nos desplacemos hacia la propia maquina fsica. La expectativa que queremos lograr implementando este firewall es tener mas conocimiento de herramientas OpenSource, que no solo existe iptables, si no que hay muchas herramientas que pueden ser mas sencillas de configurar y administrar tanto por va Web como por la Shell del sistema. .

JUSTIFICACION El presente manual esta orientado a la implementacin de herramientas basadas en Distribuciones Linux, con el fin de familiarizarnos con herramientas pocos comunes. Hoy en da, las grandes compaas buscan proteger sus activos, entre ellos el mas importante de todos, el de la informacin que se maneje dentro de la empresa, lo cual el implementar herramientas sin costo de licenciamiento seria la solucin que la mayora de las compaas buscan. El fin de documentar el uso de una herramienta como la que es Endian, es brindar teora necesaria para implementar en escenarios comunes, ms que todo para aquellos que deseen comenzar a explorar nuevas herramientas para sus escenarios en particular.

Esta pequea gua, busca familiarizar a los lectores con endian de una manera simple.

OBJETIVO GENERAL: Propiciar la implementacin de herramientas OpenSource para asegurar la infraestructura de una red.

OBJETIVOS ESPECIFICOS: Asegurar los recursos de la red, denegando el acceso a usuarios no autorizados. Fomentar el uso de herramientas OpenSource, como solucin. Realizar enmascaramiento de IP (NAT) con el fin de permitir la salida a Internet de todos los usuarios de la red LAN. Especificar paso a paso el proceso de instalacin, configuracin y administracin de Endian.

ENDIAN Endian es una distribucin OpenSource de Linux, desarrollada para actuar como corta fuego (firewall), enlutar y gestionar amenazas. Endian Firewall est basado originalmente en IPCop, que a su vez, es un fork (desarrollo de software) de Smoothwall; pero ahora se est basando en LFS (Linux From Scratch Linux desde cero). La implementacin de esta herramienta es totalmente gratuita, ya que es una distribucin GNU/Linux, por lo tanto su licencia es opensource; por lo que se puede descargar una ISO desde el sitio Web oficial del proyecto Endian www.efw.it , no se requiere mucha capacidad fsica en la maquina en donde se va a implementar. Se podra decir que Endian es un Firewall de nivel de aplicacin.

Caractersticas: Ipsec LAN a LAN VPN. NAT Soporte para DMZ. Grficos detallados de las interfaces de red. Mltiples aliases en la interface WAN. Interfaz administrativa WEB bajo https. Detalle de todas las conexiones activas. Log detallado de todos los procesos del sistema. Envi de log a un syslog Servidor NTP. Servidor DHCP. Proxy, POP3 Antivirus. Proxy SMTP antispam

 Interfaz grafica de usuario (GUI) para configuracin y administracin de los servicios. IDS en interface WAN y LAN. Proxy SIP SMTP Proxy Squid Guardin. Filtro de contenidos. Advanced Proxy
NOTA: En el equipo donde se va a correr Endian, no se puede tener otra particin instalada con otro sistema operativo, por lo que es necesario tener una sola particin de todo el disco duro para la distribucin de ENDIAN. La implementacin de endian se llevara a cabo teniendo en cuanta el siguiente escenario:

ESCENARIO

RECURSOS: Equipo de cmputo, con distribucin de endian Linux. Switch 4 Equipos de cmputo de la LAN. REQUISITOS: Dar acceso a Internet a todos los usuarios de la pequea LAN, haciendo NAT. Denegar el acceso del trfico desde la red WAN hacia la red LAN. En el anterior escenario, la herramienta a utilizar va a hacer una distribucin de Linux, que se adapte fcilmente a los requerimientos, ya que tiene la capacidad de implementar NAT, y nos brinda una interfaz Web, para administrar mas fcilmente nuestro servidor Firewall.

INSTALANDO ENDIAN:
Nuestro equipo booteara desde la unidad de CD, al momento de que cargue nos deber aparecer la siguiente informacin:

Nos aparecer una especie de caractersticas de la distribucin de ENDIAN, y como carga nuestro CD para empezar a instalar.

10

Ahora nos pedira escoger el idioma para continuar con la instalacion, como podemos observar tan solo aparecen 3, en nuestro caso escogeremos ingles, que es el lenguaje con quien mas nos familiarisamos de los tres.

Bienvenidos a la instalacion de EFW.

11

El proceso de instalacin nos sacara informacin acerca del disco

duro de nuestro equipo, el cual ser particionado con un sistema de ficheros, posteriormente nos advertir que todos los datos que tenemos en disco duro (otros sistemas operativos, datos.) se perdern.

Si estamos seguros de continuar con el proceso de instalacin del EFW en nuestro sistema escogeremos la opcin de YES y OK para continuar.

12

Si deseamos habilitar una consola sobre un puerto serial, le decimos YES y OK, esto con el fin de querernos conectar desde un Laptop por medio de un cable null MODEM a nuestro Firewall.

Ahora esperaremos a que se instalen los paquetes necesarios para nuestro Firewall.

13

Ahora le especificaremos la direccion IP para la interfaz verde (LAN) o sea a la direccion de la red local.

Le asignamos una direccion ip a nuestro servidor, con una mascara por defecto. Culminada la instalacin con xito, nos deber aparecer algo similar a este cuadro de dialogo.

Ahora le damos en OK, y reiniciamos nuestro equipo.

14

Despus de cargar el GRUB presionaremos cualquier tecla para continuar.

A medida que el equipo va cargando, va arrogando informacin hacerca de los servicios que el sistema va cargando. Hasta el servicio de Firewall.

15

Posteriormente nos logearemos con usuario root, y la contrasea por defecto de ENDIAN que es endian.

Desde un equipo de la red LAN, nos conectaremos al servidor ENDIAN Firewall, por medio del navegador, y acceder asi a la GUI y poder empesar la configuracin de forma ms facil para el aqdministrador, en la barra de direccionamiento del navegador pondremos la direccion ip de nuestro servidor ENDIAN.

16

Nos pide validar el certificado del sitio web visitado para asi poder acceder a la interfaz Web de nuestro ENDIAN para poderlo administrar. Configuracin bsica: Como podemos ver, nos pide especificar la interfaz WAN a utilizar, en nuestro caso sera Ethernet estatico, aunque tambien se puede configurar de manera dinamica, segn sus necesidades.

17

Posteriormente, nos permite elegir opciones de DMZ y WI-FI, si se necesita implementar, en nuestro caso no lo necesitaremos, entonces dejamos la opcion por defecto ninguno.

Ahora especificaremos la red interna LAN de nuestro servidor Firewall. En nuestro caso ser un direccionamiento privado del rango de IP 192.168.1.1/24

18

Ahora especificamos la direccion ip estatica de la interfaz WAN, que es una red no confiable. En este caso sera la 172.20.0.54/24

Seguidamente configuraremos nuestros DNS.

19

Terminada la configuracin basica de nuestro cortafuegos, seleccionaremos la opcion Aceptar y Aplicar configuracin, esto con el fin de que el Firewall guarde los cambios que hicimos.

Terminada de guardar nuestra configuracin nos debera aparecer el siguiente pantallaza:

20

Escribiremos el nombre de usuario y la contrasea para poder acceder y empezar a crear las reglas de acuerdo a las necesidades de seguridad de nuestra red.

Despus de habernos logeado en el sistema, nos muestra la configuracin de la WAN y podemos observar que esta conectada. NOTA: Debemos tener en cuenta que la regla que aplica ENDIAN por defecto es aceptar, por lo tanto todos los paquetes que salen y entran desde y hacia nuestra LAN estarn permitidos. Como en el escenario planteado anteriormente solo nos pide el hacer que todos los usuarios de nuestra red local, puedan tener acceso a la red externa (INET). Para poder dar salida a Internet a la red local, falta con aplicar una regla de NAT (Redireccionamiento), la cual va a permitir que todos los host locales puedan tener acceso a la red WAN con una sola IP publica. Ahora implementaremos la regla para hacer el respectivo NAT. Desde nuestra Web administradora, damos clic en cortafuegos, en traduccin de la direccin de red daremos clic en NAT Fo...

21

Haciendo NAT:

Aqu podemos ver que en endian ya viene la regla por defecto de NAT as que no hay que modificar nada para darle la conexin as a la red LAN. Ya la red local puede acceder a la red externa pasando por nuestro Firewall.

22

CONCLUSIONES

La importancia de investigar adecuadamente sobre una herramienta firewall, conocer su funcionamiento, ventajas, desventajas, S.O. es una manera fcil de saber que herramienta utilizar a la hora de solucionar problemas de filtrado de paquetes en nuestra red. Nos brinda la facilidad de tener un control adecuado de las conexiones que realicen nuestros usuarios hacia Internet. El implementar herramientas bajo licenciamiento libre, es una de las mejores opciones que tienen los administradores a la hora de escoger un producto e implementarlo en su red local. Reconocimos la ventaja de trabajar con herramientas de entorno grafico para tareas complejas como son la de crear reglas de filtrado. Se aprendi a diferenciar diferentes clases de herramientas de Firewall, con el fin de tener mas opciones de implementacin a la hora de resolver un problema. Obtenidos los conocimientos, es hora de ponerlos en prctica.

23