GRUPO MiNdWiDe JUAN ALEJANDRO BEDOYA JOSE DE ARLEX DOMINGUEZ NEIFER ERNEY GIRALDO JHON FREDY HERRERA YOJAN LEANDRO USME
ADMINISTRACION DE REDES INFORMATICAS
Mauricio Ortiz
CENTRO DE SERVICIO Y GESTION EMPRESARIAL SENA (MEDELLIN) 2010 Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 2
INDICE Introduccin ......................................................................................................................... 3 Objetivo ............................................................................................................................... 3 Topologa de red ................................................................................................................... 4 Tabla de direccionamiento .................................................................................................... 5 Configuracin del Firewall ..................................................................................................... 6 Requisitos de Endian .................................................................................................................................. 6 Creando nuestra VM .................................................................................................................................. 7 Instalacin de Endian ............................................................................................................................... 11 Configuracin inicial de Endian Firewall .................................................................................................. 15 Pestaa System ........................................................................................................................................ 20 Network configuration ........................................................................................................................ 20 Event notifications ............................................................................................................................... 20 Passwords ............................................................................................................................................ 20 SSH access ........................................................................................................................................... 20 GUI settings ......................................................................................................................................... 20 Backup ................................................................................................................................................. 20 Shutdown ............................................................................................................................................ 20 Pestaa Status ......................................................................................................................................... 20 Pestaa Servicios ..................................................................................................................................... 21 Pestaa Firewall ....................................................................................................................................... 21 Pestaa Proxy .......................................................................................................................................... 21 Pestaa VPN............................................................................................................................................. 21 Reglas de Sistema .................................................................................................................................... 22 Publicar los servicios de HTTP y FTP en internet ..................................................................................... 25 Conclusiones ....................................................................................................................... 29 Bibliografa ......................................................................................................................... 29
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 3
Introduccin Un muro de fuego (firewall en ingls) es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, las caractersticas de cifrado y descifrado se permiten en un firewall agregando funcionalidades al mismo convirtindose as en una solucin ms robusta y efectiva. Esta serie de atributos o comportamientos se aplican al trfico tanto entrante como saliente entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Estas caractersticas permiten a las organizaciones proteccin contra todo tipo de amenazas provenientes de internet y a su vez permite realizar sus tareas comunes con cierto grado de tranquilidad. Objetivo Realizar la instalacin y configuracin de un firewall en la plataforma Linux, para la topologa planteada a continuacin. Para llevar a cabo dicha tarea nos apoyaremos en los aplicativos VMWare Workstation y el software para implementar el firewall Endian v2.4, esto con el fin de obtener los conocimientos necesarios para llevar a cabo con xito dicha tarea e igualmente tener conceptos slidos a la hora de implementar una solucin como estas.
Topologa de red
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 5
Tabla de direccionamiento Dispositivo Interfaz Direccion IP Mascara de subred Gateway predeterminada ISP Fa1/0 192.168.1.254 255.255.255.0 NO APLICABLE VMNet2 172.16.1.254 255.255.255.0 NO APLICABLE VMNet3 172.16.2.254 255.255.255.0 NO APLICABLE Bridge 192.168.1.253 255.255.255.0 192.168.1.254 SVR-HTTP-FTP-01 NIC 172.16.2.253 255.255.255.0 172.16.2.254 Endian-FW
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 6
Configuracin del Firewall Requisitos de Endian Necesitar los requerimientos mnimos de la tabla siguiente para utilizar Endian. Requisitos Endian V2.4 CPU: Intel x86 compatible (500MHz minimum, 1GHz recommended), including VIA, AMD Athlon, Athlon 64, Opteron, Intel Core 2 Duo, Xeon, Pentium and Celeron processors
Multi-Processor: Symmetric multi-Processor (SMP) support included
RAM: 256MB minimum (512MB recommended)
Disk: SCSI, SATA, SAS or IDE disk is required (4GB minimum)
Software RAID: For software RAID1 (mirroring) two disks of the same type (the capacity needn't be the same) are required
CDROM: An IDE, SCSI or USB CDROM drive is required for installation (not required after installation)
Network Cards: Most common Network Interface Cards are supported including Gigabit and fiber NICs
Monitor/Keyboard: Only required for the installation but not for configuration and use
Operating System: Endian Firewall includes a Hardened Linux Based Operating System
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 7
Creando nuestra VM Muy bien teniendo presente estos requisitos de hardware y de software procederemos a crear nuestra VM en VMWare Workstation, a continuacin presentaremos los Screenshot correspondientes a la realizacin de dicha tarea. Teniendo el aplicativo VMWare Workstation abierto nos vamos por File > New > Virtual Machine o con la combinacin de teclas CTRL + N, esto nos permitir iniciar el asistente de creacin de VM y nos saldr la siguiente ventana, siguiendo as el asistente.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 8
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 9
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 10
Nota: nuestra VM final quedara as es importante el orden de las tarjetas de red para que nuestro Firewall funcione correctamente, primero VMnet2, VMnet3, y por ultimo Bridged.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 11
Instalacin de Endian En este punto suponemos que ya hemos descargado la ISO, el cual contiene todos los componentes que proporcionan la solucin integrada de Endian, si no es as podemos descargarla de la URL: http://www.endian.com en ella igualmente se encontrara documentacin para su implementacin.
Paquete de software para la instalacin e implementacin de Endian Firewall, esta ISO pesa aproximadamente 150 MB.
Realizamos el mapeo de la ISO que previamente descargamos.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 12
Este es el primer pantallazo que nos ofrecer el asistente de instalacin de Endian, a continuacin nos ofrecer seleccionar el idioma, caractersticas de particin para el disco duro. Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 13
Este apartado nos permite configurar el Stack TCP/IP para la interface GREEN (Interface de confianza). Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 14
Este pantallazo nos indica que la instalacin del EFW a finalizado con xito y adems nos indica que para acceder a la interface de administracin via web debemos digitar en nuestro navegador favorito la url: http://efw-community or https://efw-community:10443, hay que tener presente que para que se resuelvan estos nombres de dns debemos tener configurado en el equipo que realizaremos la administracin los servidores DNS que apunten hacia la ip del Endian en nuestro caso es lo siguiente: Esto porque se puede, pues por que el Endian ya viene con algunos servicios implementados como son servidor DNS, servidor HTTP. Pero lo haremos con https://172.16.1.254:10443 debido a que como el Endian viene con reglas ya preestablecidas no nos permite resolver de momento el nombre y adems no hemos configurado el hostname al servidor.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 15
Configuracin inicial de Endian Firewall
Accediendo con la direccin IP nos ofrecer el asistente para la configuracin inicial de nuestro firewall como son las zonas Interna, DMZ, Externa.
Seleccionamos el idioma y regin y aceptamos los trminos y condiciones.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 16
Nos ofrece la posibilidad de configurar las credenciales tanto para la interface web de administracin y para las conexiones remotas con SSH.
Posteriormente nos inicia el asistente para configurar nuestro entorno de red, en la cual definimos que tipo de configuracin de interface externa tendremos, en nuestro caso seleccionaremos ETHERNET STATIC. Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 17
Como tendremos una DMZ seleccionaremos la interface ORANGE (VMnet3) en nuestra situacin.
Luego nos permite configurar las direcciones IPs que tendrn las zonas Interna y DMZ, el hostname y el dominio.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 18
En este apartado nos pide que ingresemos la configuracin a nivel de ip de la interface Externa (Bridged).
Configuramos nuestros servidores de DNS externos.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 19
Y opcionalmente nos ofrece configurar datos del administrador como direccin de correo electrnico y aplicamos la configuracin. Entonces el usuario es admin para el acceso a la interface web y para ingresar a la CLI es root.
Nuestra pgina principal del administrador de Endian. Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 20
Pestaa System Network configuration Nos permite el rediseo de nuestro entorno de red. Event notifications Ofrece la posibilidad de configurar los eventos de notificacin, mtodo, etc. Passwords Disponible para si en algn momento deseamos cambiar las credenciales de autenticacin. SSH access Opcionalmente podemos habilitar el servicio de SSH para la administracin remota por medio de la CLI. GUI settings Men disponible el cual nos permite cambiar el idioma de la GUI de administracin web. Backup Seccin en la pestaa System la cual nos permite realizar copias de seguridad a la configuracin en ejecucin e igualmente regresar a un estado previo. Shutdown Ofrece dos botones apartir de los cuales podemos reiniciar o apagar el servidor Endian. Pestaa Status Disponible para ver el estado, estadsticas de muchos de los componentes que integran el servidor Endian como puede ser, uso del disco, memoria, Proxy, Red, estado de los servicios de red disponibles desde el servidor Endia, etc.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 21
Pestaa Servicios Esta parte de nuestro servidor Endian nos ofrece la posibilidad de configurara servicios de red como DHCP, DNS Dinmico, Servidor NTP, QoS, y as permitindonos una mejor y cmoda administracin de nuestras zonas. Pestaa Firewall Esta es la seccin donde aplicaremos o mejor plasmaremos las polticas de la organizacin y as permitir o denegar ciertos servicios, igualmente la tecnologa de NAT, FOWARD. Pestaa Proxy Nos obsequia la posibilidad de configurar servidores proxy para diferentes servicos como, HTTP, FTP, DNS, entre otros. Pestaa VPN Servicio disponible el cual nos permite habilitar el acceso remoto a clientes desde internet hacia nuestra red local soportada en conexiones seguras. Bueno entonces la mayor parte del tiempo lo estaremos en la pestaa firewall.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 22
Reglas de Sistema En este apartado comprobaremos conectividad a nivel de capa 3 hablando del modelo OSI. Del host de la red interna cuya ip es 172.16.1.1/24 hacia cualquier parte. Observamos que podemos hacer una peticin de echo ICMP a cualquier red, esto es porque por defecto el endian viene con reglas predefinidas (reglas del sistema), el NAT nos permite llegar.
Esta regla nos permite traducir cualquier direccin ip de origen (SNAT). Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 23
Estas reglas por defecto en Ougoing traffic permite los servicios comunes, como son HTTP, HTTPS, DNS, ICMP. Estas reglas se aplican como podemos observar solo al origen que provenga de GREEN (Interna), BLUE (Wireless). Finalmente la regla de sistema permite desde cualquier parte hacia RED (Internet) la solicitud de echo ICMP.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 24
Las reglas por defecto en Inter-Zone Traffic permiten cualquier trfico desde la zona GREEN (Interna) hacia ORANGE (DMZ) y BLUE (Wireless), pero no desde la DMZ hacia la zona Interna.
Las reglas de sistema para System access define que cualquier origen que entre a la interface GREEN, ORANGE, BLUE o sea trfico que valla para el Endian se permiten siempre y cuando vallan para los siguientes servicios: DNS. ICMP. NTP. HTTP. Importante tener presente que no se permite nada que se origine de Internet o sea que entre a la interface RED a ecepcion de conexiones establecidas desde el interior. Entonces teniendo claro las reglas por defecto y de sistema procederemos a crear y configurar nuestras reglas.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 25
Publicar los servicios de HTTP y FTP en internet Para la realizacin de la publicacin de estos servicios solo basta con realizar un DNAT para esos servicios, entonces nos vamos para la pestaa FIREWALL > submen Port forwarding / NAT y a subes a Port forwarding / Destination NAT.
En esta captura observamos la realizacin del DNAT, le indicamos que si un paquete llega especficamente para la ip 192.168.1.253 por la capa de transporte y su protocolo TCP con el puerto de destino 80 cambie la ip de destino a 172.16.2.253 e igualmente el puerto 80. Aplicamos la configuracin y con eso esta nuestro servicio publicado.
Para la publicacin del servicio de FTP igualmente es el mismo proceso.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 26
Opcional habilitamos el log para esa DNAT y un etiquetado el cual nos indique que realiza esa DNAT o mejor el objetivo del DNAT.
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 27
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 28
En las dos ltimas imgenes observamos que podemos acceder desde internet a los servicios publicados en la DMZ.
Observamos las conexiones actuales y su estado.
Finalmente permitimos conexiones a HTTP para permitir que los equipos Linux se puedan actualizar. Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 29
Conclusiones Es una solucin community lo cual nos permite su adquisicin sin consto alguno. Su implementacin es muy comn en empresas medianas y se adapta muy bien a estos entornos. Se dispone de una comunidad, esto permite u ofrece una amplia fuente de informacin para su implementacin y solucin de inquietudes. La versin community no tiene las prestaciones que nos puede ofrecer la versin Enterprice. Bibliografa http://www.endian.com/es/
Mind Wide Open BLOG http://jfherrera.wordpress.com Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???
MiNdWiDe - Group 30
Gracias Integrantes Juan Alejandro Bedoya Jose De Arlex Dominguez Neifer Erney Giraldo Jhon Fredy Herrera Yojan Leandro Usme