P. 1
Firewall-Linux-Endian.pdf

Firewall-Linux-Endian.pdf

|Views: 43|Likes:
Publicado porShinji Ikari

More info:

Published by: Shinji Ikari on Oct 30, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

06/21/2014

pdf

text

original

Seguridad de la red Diseño del plan de seguridad de la información Fase 2 – Firewall común Linux Endian v2.

4

GRUPO “MiNdWiDe” JUAN ALEJANDRO BEDOYA JOSE DE ARLEX DOMINGUEZ NEIFER ERNEY GIRALDO JHON FREDY HERRERA YOJAN LEANDRO USME

ADMINISTRACION DE REDES INFORMATICAS

Mauricio Ortiz

CENTRO DE SERVICIO Y GESTION EMPRESARIAL SENA (MEDELLIN) 2010

Mind Wide Open™ BLOG – http://jfherrera.wordpress.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
INDICE Introducción ......................................................................................................................... 3 Objetivo ............................................................................................................................... 3 Topología de red ................................................................................................................... 4 Tabla de direccionamiento .................................................................................................... 5 Configuración del Firewall ..................................................................................................... 6
Requisitos de Endian.................................................................................................................................. 6 Creando nuestra VM .................................................................................................................................. 7 Instalación de Endian ............................................................................................................................... 11 Configuración inicial de Endian Firewall .................................................................................................. 15 Pestaña System ........................................................................................................................................ 20 Network configuration ........................................................................................................................ 20 Event notifications ............................................................................................................................... 20 Passwords ............................................................................................................................................ 20 SSH access ........................................................................................................................................... 20 GUI settings ......................................................................................................................................... 20 Backup ................................................................................................................................................. 20 Shutdown ............................................................................................................................................ 20 Pestaña Status ......................................................................................................................................... 20 Pestaña Servicios ..................................................................................................................................... 21 Pestaña Firewall ....................................................................................................................................... 21 Pestaña Proxy .......................................................................................................................................... 21 Pestaña VPN............................................................................................................................................. 21 Reglas de Sistema .................................................................................................................................... 22 Publicar los servicios de HTTP y FTP en internet ..................................................................................... 25

Conclusiones....................................................................................................................... 29 Bibliografía ......................................................................................................................... 29

MiNdWiDe - Group

2

Mind Wide Open™ BLOG – http://jfherrera.wordpress.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
Introducción
Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, las características de cifrado y descifrado se permiten en un firewall agregando funcionalidades al mismo convirtiéndose así en una solución más robusta y efectiva. Esta serie de atributos o comportamientos se aplican al tráfico tanto entrante como saliente entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Estas características permiten a las organizaciones protección contra todo tipo de amenazas provenientes de internet y a su vez permite realizar sus tareas comunes con cierto grado de tranquilidad.

Objetivo
Realizar la instalación y configuración de un firewall en la plataforma Linux, para la topología planteada a continuación. Para llevar a cabo dicha tarea nos apoyaremos en los aplicativos VMWare Workstation y el software para implementar el firewall Endian v2.4, esto con el fin de obtener los conocimientos necesarios para llevar a cabo con éxito dicha tarea e igualmente tener conceptos sólidos a la hora de implementar una solución como estas.

MiNdWiDe - Group

3

Topología de red .

2.255.2.254 172.1.0 255.16.255.16.255.0 255.254 MiNdWiDe .wordpress.168.Mind Wide Open™ BLOG – http://jfherrera.16.254 172.253 Mascara de subred 255.16.0 255.255.Group 5 .255.168.255.253 172.1.168.0 255.255.1.0 Gateway predeterminada NO APLICABLE NO APLICABLE NO APLICABLE 192.254 172.254 192.1.255.255.2.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Tabla de direccionamiento Dispositivo ISP Endian-FW Interfaz Fa1/0 VMNet2 VMNet3 Bridge SVR-HTTP-FTP-01 NIC Direccion IP 192.255.

SATA. SCSI or USB CDROM drive is required for installation (not required after installation) Most common Network Interface Cards are supported including Gigabit and fiber NICs Only required for the installation but not for configuration and use Endian Firewall includes a Hardened Linux Based Operating System CPU: Multi-Processor: RAM: Disk: Software RAID: CDROM: Network Cards: Monitor/Keyboard: Operating System: MiNdWiDe .Group 6 .wordpress. Requisitos Endian V2. Intel Core 2 Duo.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Configuración del Firewall Requisitos de Endian Necesitará los requerimientos mínimos de la tabla siguiente para utilizar Endian.4 Intel x86 compatible (500MHz minimum. Athlon 64. 1GHz recommended). Pentium and Celeron processors Symmetric multi-Processor (SMP) support included 256MB minimum (512MB recommended) SCSI. AMD Athlon. Xeon. including VIA. Opteron. SAS or IDE disk is required (4GB minimum) For software RAID1 (mirroring) two disks of the same type (the capacity needn't be the same) are required An IDE.Mind Wide Open™ BLOG – http://jfherrera.

Teniendo el aplicativo VMWare Workstation abierto nos vamos por File > New > Virtual Machine o con la combinación de teclas CTRL + N. a continuación presentaremos los Screenshot correspondientes a la realización de dicha tarea.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Creando nuestra VM Muy bien teniendo presente estos requisitos de hardware y de software procederemos a crear nuestra VM en VMWare Workstation.Mind Wide Open™ BLOG – http://jfherrera. siguiendo así el asistente. esto nos permitirá iniciar el asistente de creación de VM y nos saldrá la siguiente ventana.wordpress. MiNdWiDe .Group 7 .

Mind Wide Open™ BLOG – http://jfherrera.Group 8 .wordpress.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” MiNdWiDe .

Mind Wide Open™ BLOG – http://jfherrera.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” MiNdWiDe .wordpress.Group 9 .

MiNdWiDe . y por ultimo Bridged.wordpress. VMnet3.Mind Wide Open™ BLOG – http://jfherrera. primero VMnet2.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Nota: nuestra VM final quedaría así es importante el orden de las tarjetas de red para que nuestro Firewall funcione correctamente.Group 10 .

endian.com en ella igualmente se encontrara documentación para su implementación.wordpress.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Instalación de Endian En este punto suponemos que ya hemos descargado la ISO. el cual contiene todos los componentes que proporcionan la solución integrada de Endian.Group 11 . MiNdWiDe . esta ISO pesa aproximadamente 150 MB.Mind Wide Open™ BLOG – http://jfherrera. Realizamos el mapeo de la ISO que previamente descargamos. Paquete de software para la instalación e implementación de Endian – Firewall. si no es así podemos descargarla de la URL: http://www.

Mind Wide Open™ BLOG – http://jfherrera.Group 12 .wordpress.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Este es el primer pantallazo que nos ofrecerá el asistente de instalación de Endian. MiNdWiDe . características de partición para el disco duro. a continuación nos ofrecerá seleccionar el idioma.

com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Este apartado nos permite configurar el Stack TCP/IP para la interface GREEN (Interface de confianza).Group 13 .wordpress. MiNdWiDe .Mind Wide Open™ BLOG – http://jfherrera.

Mind Wide Open™ BLOG – http://jfherrera. Pero lo haremos con https://172.16. pues por que el Endian ya viene con algunos servicios implementados como son servidor DNS. hay que tener presente que para que se resuelvan estos nombres de dns debemos tener configurado en el equipo que realizaremos la administración los servidores DNS que apunten hacia la ip del Endian en nuestro caso es lo siguiente: Esto porque se puede.254:10443 debido a que como el Endian viene con reglas ya preestablecidas no nos permite resolver de momento el nombre y además no hemos configurado el hostname al servidor.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Este pantallazo nos indica que la instalación del EFW a finalizado con éxito y además nos indica que para acceder a la interface de administración via web debemos digitar en nuestro navegador favorito la url: http://efw-community or https://efw-community:10443.1. MiNdWiDe .Group 14 . servidor HTTP.wordpress.

Mind Wide Open™ BLOG – http://jfherrera.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Configuración inicial de Endian Firewall Accediendo con la dirección IP nos ofrecerá el asistente para la configuración inicial de nuestro firewall como son las zonas Interna.Group 15 .wordpress. DMZ. Externa. MiNdWiDe . Seleccionamos el idioma y región y aceptamos los términos y condiciones.

en la cual definimos que tipo de configuración de interface externa tendremos.wordpress.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Nos ofrece la posibilidad de configurar las credenciales tanto para la interface web de administración y para las conexiones remotas con SSH.Group 16 . en nuestro caso seleccionaremos ETHERNET STATIC. MiNdWiDe .Mind Wide Open™ BLOG – http://jfherrera. Posteriormente nos inicia el asistente para configurar nuestro entorno de red.

Mind Wide Open™ BLOG – http://jfherrera.wordpress. Luego nos permite configurar las direcciones IPs que tendrán las zonas Interna y DMZ. el hostname y el dominio. MiNdWiDe .com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Como tendremos una DMZ seleccionaremos la interface ORANGE (VMnet3) en nuestra situación.Group 17 .

Configuramos nuestros servidores de DNS externos.Mind Wide Open™ BLOG – http://jfherrera.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” En este apartado nos pide que ingresemos la configuración a nivel de ip de la interface Externa (Bridged). MiNdWiDe .Group 18 .wordpress.

Mind Wide Open™ BLOG – http://jfherrera. MiNdWiDe . Nuestra página principal del administrador de Endian. Entonces el usuario es admin para el acceso a la interface web y para ingresar a la CLI es root.Group 19 .wordpress.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Y opcionalmente nos ofrece configurar datos del administrador como dirección de correo electrónico y aplicamos la configuración.

Red. MiNdWiDe .wordpress. GUI settings Menú disponible el cual nos permite cambiar el idioma de la GUI de administración web.Group 20 .com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Pestaña System Network configuration Nos permite el rediseño de nuestro entorno de red. memoria. SSH access Opcionalmente podemos habilitar el servicio de SSH para la administración remota por medio de la CLI.Mind Wide Open™ BLOG – http://jfherrera. método. estadísticas de muchos de los componentes que integran el servidor Endian como puede ser. Proxy. uso del disco. Backup Sección en la pestaña System la cual nos permite realizar copias de seguridad a la configuración en ejecución e igualmente regresar a un estado previo. etc. Shutdown Ofrece dos botones apartir de los cuales podemos reiniciar o apagar el servidor Endian. Passwords Disponible para si en algún momento deseamos cambiar las credenciales de autenticación. estado de los servicios de red disponibles desde el servidor Endia. Pestaña Status Disponible para ver el estado. Event notifications Ofrece la posibilidad de configurar los eventos de notificación. etc.

DNS. y así permitiéndonos una mejor y cómoda administración de nuestras zonas. MiNdWiDe . Servidor NTP.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Pestaña Servicios Esta parte de nuestro servidor Endian nos ofrece la posibilidad de configurara servicios de red como DHCP. Pestaña Proxy Nos obsequia la posibilidad de configurar servidores proxy para diferentes servicos como. igualmente la tecnología de NAT. DNS Dinámico.wordpress. Bueno entonces la mayor parte del tiempo lo estaremos en la pestaña firewall.Group 21 .Mind Wide Open™ BLOG – http://jfherrera. QoS. entre otros. Pestaña VPN Servicio disponible el cual nos permite habilitar el acceso remoto a clientes desde internet hacia nuestra red local soportada en conexiones seguras. Pestaña Firewall Esta es la sección donde aplicaremos o mejor plasmaremos las políticas de la organización y así permitir o denegar ciertos servicios. FOWARD. HTTP. FTP.

MiNdWiDe .Group 22 .16.1/24 hacia cualquier parte. esto es porque por defecto el endian viene con reglas predefinidas (reglas del sistema). Del host de la red interna cuya ip es 172.wordpress. el NAT nos permite llegar. Esta regla nos permite traducir cualquier dirección ip de origen (SNAT).1.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Reglas de Sistema En este apartado comprobaremos conectividad a nivel de capa 3 hablando del modelo OSI. Observamos que podemos hacer una petición de echo ICMP a cualquier red.Mind Wide Open™ BLOG – http://jfherrera.

wordpress. DNS. MiNdWiDe . Estas reglas se aplican como podemos observar solo al origen que provenga de GREEN (Interna). Finalmente la regla de sistema permite desde cualquier parte hacia RED (Internet) la solicitud de echo ICMP. BLUE (Wireless).Group 23 . ICMP.Mind Wide Open™ BLOG – http://jfherrera. como son HTTP.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Estas reglas por defecto en Ougoing traffic permite los servicios comunes. HTTPS.

pero no desde la DMZ hacia la zona Interna. HTTP. Entonces teniendo claro las reglas por defecto y de sistema procederemos a crear y configurar nuestras reglas.Group 24 .com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Las reglas por defecto en Inter-Zone Traffic permiten cualquier tráfico desde la zona GREEN (Interna) hacia ORANGE (DMZ) y BLUE (Wireless). MiNdWiDe . ICMP. ORANGE. NTP. Importante tener presente que no se permite nada que se origine de Internet o sea que entre a la interface RED a ecepcion de conexiones establecidas desde el interior.wordpress. BLUE o sea tráfico que valla para el Endian se permiten siempre y cuando vallan para los siguientes servicios: DNS.Mind Wide Open™ BLOG – http://jfherrera. Las reglas de sistema para System access define que cualquier origen que entre a la interface GREEN.

168.wordpress.1.Group 25 .com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Publicar los servicios de HTTP y FTP en internet Para la realización de la publicación de estos servicios solo basta con realizar un DNAT para esos servicios. Aplicamos la configuración y con eso esta nuestro servicio publicado.Mind Wide Open™ BLOG – http://jfherrera.16.253 por la capa de transporte y su protocolo TCP con el puerto de destino 80 cambie la ip de destino a 172. entonces nos vamos para la pestaña FIREWALL > submenú Port forwarding / NAT y a subes a Port forwarding / Destination NAT. En esta captura observamos la realización del DNAT. MiNdWiDe .2. Para la publicación del servicio de FTP igualmente es el mismo proceso. le indicamos que si un paquete llega específicamente para la ip 192.253 e igualmente el puerto 80.

Mind Wide Open™ BLOG – http://jfherrera.wordpress.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Opcional habilitamos el log para esa DNAT y un etiquetado el cual nos indique que realiza esa DNAT o mejor el objetivo del DNAT.Group 26 . MiNdWiDe .

com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” MiNdWiDe .wordpress.Group 27 .Mind Wide Open™ BLOG – http://jfherrera.

wordpress.Group 28 . MiNdWiDe . Finalmente permitimos conexiones a HTTP para permitir que los equipos Linux se puedan actualizar. Observamos las conexiones actuales y su estado.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” En las dos últimas imágenes observamos que podemos acceder desde internet a los servicios publicados en la DMZ.Mind Wide Open™ BLOG – http://jfherrera.

wordpress. Su implementación es muy común en empresas medianas y se adapta muy bien a estos entornos.Mind Wide Open™ BLOG – http://jfherrera.Group 29 .com/es/ MiNdWiDe . Se dispone de una comunidad. La versión community no tiene las prestaciones que nos puede ofrecer la versión Enterprice.endian.com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Conclusiones Es una solución community lo cual nos permite su adquisición sin consto alguno. Bibliografía http://www. esto permite u ofrece una amplia fuente de información para su implementación y solución de inquietudes.

Group 30 .com Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???” Gracias… Integrantes Juan Alejandro Bedoya Neifer Erney Giraldo Yojan Leandro Usme Jose De Arlex Dominguez Jhon Fredy Herrera MiNdWiDe .wordpress.Mind Wide Open™ BLOG – http://jfherrera.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->