Fase 2 Actividad Firewall Linux Endian

Seguridad de la red
Diseo del plan de seguridad de la informacin

Fase 2 Firewall comn Linux
Endian v2.4

GRUPO MiNdWiDe
JUAN ALEJANDRO BEDOYA
JOSE DE ARLEX DOMINGUEZ
NEIFER ERNEY GIRALDO
JHON FREDY HERRERA
YOJAN LEANDRO USME

ADMINISTRACION DE REDES INFORMATICAS

Mauricio Ortiz

CENTRO DE SERVICIO Y GESTION EMPRESARIAL
SENA (MEDELLIN)
2010
Mind Wide Open
BLOG http://jfherrera.wordpress.com
Seguridad de la red | Diseo del plan de seguridad de la informacin
GROUP | ???

MiNdWiDe - Group 2

INDICE
Introduccin ......................................................................................................................... 3
Objetivo ............................................................................................................................... 3
Topologa de red ................................................................................................................... 4
Tabla de direccionamiento .................................................................................................... 5
Configuracin del Firewall ..................................................................................................... 6
Requisitos de Endian .................................................................................................................................. 6
Creando nuestra VM .................................................................................................................................. 7
Instalacin de Endian ............................................................................................................................... 11
Configuracin inicial de Endian Firewall .................................................................................................. 15
Pestaa System ........................................................................................................................................ 20
Network configuration ........................................................................................................................ 20
Event notifications ............................................................................................................................... 20
Passwords ............................................................................................................................................ 20
SSH access ........................................................................................................................................... 20
GUI settings ......................................................................................................................................... 20
Backup ................................................................................................................................................. 20
Shutdown ............................................................................................................................................ 20
Pestaa Status ......................................................................................................................................... 20
Pestaa Servicios ..................................................................................................................................... 21
Pestaa Firewall ....................................................................................................................................... 21
Pestaa Proxy .......................................................................................................................................... 21
Pestaa VPN............................................................................................................................................. 21
Reglas de Sistema .................................................................................................................................... 22
Publicar los servicios de HTTP y FTP en internet ..................................................................................... 25
Conclusiones ....................................................................................................................... 29
Bibliografa ......................................................................................................................... 29

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 3

Introduccin
Un muro de fuego (firewall en ingls) es una parte de un sistema o una red que est diseada para
bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se
trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, las caractersticas de cifrado y descifrado se permiten en un firewall agregando
funcionalidades al mismo convirtindose as en una solucin ms robusta y efectiva. Esta serie de
atributos o comportamientos se aplican al trfico tanto entrante como saliente entre los
diferentes mbitos sobre la base de un conjunto de normas y otros criterios.
Estas caractersticas permiten a las organizaciones proteccin contra todo tipo de amenazas
provenientes de internet y a su vez permite realizar sus tareas comunes con cierto grado de
tranquilidad.
Objetivo
Realizar la instalacin y configuracin de un firewall en la plataforma Linux, para la topologa
planteada a continuacin. Para llevar a cabo dicha tarea nos apoyaremos en los aplicativos
VMWare Workstation y el software para implementar el firewall Endian v2.4, esto con el fin de
obtener los conocimientos necesarios para llevar a cabo con xito dicha tarea e igualmente tener
conceptos slidos a la hora de implementar una solucin como estas.

Topologa de red

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 5

Tabla de direccionamiento
Dispositivo Interfaz Direccion IP
Mascara de
subred
Gateway
predeterminada
ISP Fa1/0 192.168.1.254 255.255.255.0 NO APLICABLE
VMNet2 172.16.1.254 255.255.255.0 NO APLICABLE
VMNet3 172.16.2.254 255.255.255.0 NO APLICABLE
Bridge 192.168.1.253 255.255.255.0 192.168.1.254
SVR-HTTP-FTP-01 NIC 172.16.2.253 255.255.255.0 172.16.2.254
Endian-FW

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 6

Configuracin del Firewall
Requisitos de Endian
Necesitar los requerimientos mnimos de la tabla siguiente para utilizar Endian.
Requisitos Endian V2.4
CPU: Intel x86 compatible (500MHz
minimum, 1GHz
recommended), including VIA,
AMD Athlon, Athlon 64,
Opteron, Intel Core 2 Duo,
Xeon, Pentium and Celeron
processors

Multi-Processor: Symmetric multi-Processor
(SMP) support included

RAM: 256MB minimum (512MB
recommended)

Disk: SCSI, SATA, SAS or IDE disk
is required (4GB minimum)

Software RAID: For software RAID1
(mirroring) two disks of the
same type (the capacity needn't
be the same) are required

CDROM: An IDE, SCSI or USB
CDROM drive is required for
installation (not required after
installation)

Network Cards: Most common Network
Interface Cards are supported
including Gigabit and fiber
NICs

Monitor/Keyboard: Only required for the
installation but not for
configuration and use

Operating System: Endian Firewall includes a
Hardened Linux Based
Operating System

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 7

Creando nuestra VM
Muy bien teniendo presente estos requisitos de hardware y de software procederemos a crear
nuestra VM en VMWare Workstation, a continuacin presentaremos los Screenshot
correspondientes a la realizacin de dicha tarea.
Teniendo el aplicativo VMWare Workstation abierto nos vamos por File > New > Virtual Machine
o con la combinacin de teclas CTRL + N, esto nos permitir iniciar el asistente de creacin de VM
y nos saldr la siguiente ventana, siguiendo as el asistente.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 8

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 9

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 10

Nota: nuestra VM final quedara as es importante el orden de las tarjetas de red para que nuestro
Firewall funcione correctamente, primero VMnet2, VMnet3, y por ultimo Bridged.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 11

Instalacin de Endian
En este punto suponemos que ya hemos descargado la ISO, el cual contiene todos los
componentes que proporcionan la solucin integrada de Endian, si no es as podemos descargarla
de la URL: http://www.endian.com en ella igualmente se encontrara documentacin para su
implementacin.

Paquete de software para la instalacin e implementacin de Endian Firewall, esta ISO pesa
aproximadamente 150 MB.

Realizamos el mapeo de la ISO que previamente descargamos.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 12

Este es el primer pantallazo que nos ofrecer el asistente de instalacin de Endian, a continuacin
nos ofrecer seleccionar el idioma, caractersticas de particin para el disco duro.
Mind Wide Open
GROUP | ???

MiNdWiDe - Group 13

Este apartado nos permite configurar el Stack TCP/IP para la interface GREEN (Interface de
confianza).
Mind Wide Open
GROUP | ???

MiNdWiDe - Group 14

Este pantallazo nos indica que la instalacin del EFW a finalizado con xito y adems nos indica
que para acceder a la interface de administracin via web debemos digitar en nuestro navegador
favorito la url: http://efw-community or https://efw-community:10443, hay que tener presente
que para que se resuelvan estos nombres de dns debemos tener configurado en el equipo que
realizaremos la administracin los servidores DNS que apunten hacia la ip del Endian en nuestro
caso es lo siguiente:
Esto porque se puede, pues por que el Endian ya viene
con algunos servicios implementados como son servidor
DNS, servidor HTTP. Pero lo haremos con
https://172.16.1.254:10443 debido a que como el Endian
viene con reglas ya preestablecidas no nos permite
resolver de momento el nombre y adems no hemos
configurado el hostname al servidor.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 15

Configuracin inicial de Endian Firewall

Accediendo con la direccin IP nos ofrecer el asistente para la configuracin inicial de nuestro
firewall como son las zonas Interna, DMZ, Externa.

Seleccionamos el idioma y regin y aceptamos los trminos y condiciones.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 16

Nos ofrece la posibilidad de configurar las credenciales tanto para la interface web de
administracin y para las conexiones remotas con SSH.

Posteriormente nos inicia el asistente para configurar nuestro entorno de red, en la cual definimos
que tipo de configuracin de interface externa tendremos, en nuestro caso seleccionaremos
ETHERNET STATIC.
Mind Wide Open
GROUP | ???

MiNdWiDe - Group 17

Como tendremos una DMZ seleccionaremos la interface ORANGE (VMnet3) en nuestra situacin.

Luego nos permite configurar las direcciones IPs que tendrn las zonas Interna y DMZ, el hostname
y el dominio.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 18

En este apartado nos pide que ingresemos la configuracin a nivel de ip de la interface Externa
(Bridged).

Configuramos nuestros servidores de DNS externos.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 19

Y opcionalmente nos ofrece configurar datos del administrador como direccin de correo
electrnico y aplicamos la configuracin.
Entonces el usuario es admin para el acceso a la interface web y para ingresar a la CLI es root.

Nuestra pgina principal del administrador de Endian.
Mind Wide Open
GROUP | ???

MiNdWiDe - Group 20

Pestaa System
Network configuration
Nos permite el rediseo de nuestro entorno de red.
Event notifications
Ofrece la posibilidad de configurar los eventos de notificacin, mtodo, etc.
Passwords
Disponible para si en algn momento deseamos cambiar las credenciales de autenticacin.
SSH access
Opcionalmente podemos habilitar el servicio de SSH para la administracin remota por medio de
la CLI.
GUI settings
Men disponible el cual nos permite cambiar el idioma de la GUI de administracin web.
Backup
Seccin en la pestaa System la cual nos permite realizar copias de seguridad a la configuracin en
ejecucin e igualmente regresar a un estado previo.
Shutdown
Ofrece dos botones apartir de los cuales podemos reiniciar o apagar el servidor Endian.
Pestaa Status
Disponible para ver el estado, estadsticas de muchos de los componentes que integran el servidor
Endian como puede ser, uso del disco, memoria, Proxy, Red, estado de los servicios de red
disponibles desde el servidor Endia, etc.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 21

Pestaa Servicios
Esta parte de nuestro servidor Endian nos ofrece la posibilidad de configurara servicios de red
como DHCP, DNS Dinmico, Servidor NTP, QoS, y as permitindonos una mejor y cmoda
administracin de nuestras zonas.
Pestaa Firewall
Esta es la seccin donde aplicaremos o mejor plasmaremos las polticas de la organizacin y as
permitir o denegar ciertos servicios, igualmente la tecnologa de NAT, FOWARD.
Pestaa Proxy
Nos obsequia la posibilidad de configurar servidores proxy para diferentes servicos como, HTTP,
FTP, DNS, entre otros.
Pestaa VPN
Servicio disponible el cual nos permite habilitar el acceso remoto a clientes desde internet hacia
nuestra red local soportada en conexiones seguras.
Bueno entonces la mayor parte del tiempo lo estaremos en la pestaa firewall.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 22

Reglas de Sistema
En este apartado comprobaremos conectividad a nivel de capa 3 hablando del modelo OSI.
Del host de la red interna cuya ip es 172.16.1.1/24 hacia cualquier parte.
Observamos que podemos
hacer una peticin de echo
ICMP a cualquier red, esto
es porque por defecto el
endian viene con reglas
predefinidas (reglas del
sistema), el NAT nos
permite llegar.

Esta regla nos permite traducir cualquier direccin ip de origen (SNAT).
Mind Wide Open
GROUP | ???

MiNdWiDe - Group 23

Estas reglas por defecto en Ougoing traffic permite los servicios comunes, como son HTTP, HTTPS,
DNS, ICMP. Estas reglas se aplican como podemos observar solo al origen que provenga de GREEN
(Interna), BLUE (Wireless).
Finalmente la regla de sistema permite desde cualquier parte hacia RED (Internet) la solicitud de
echo ICMP.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 24

Las reglas por defecto en Inter-Zone Traffic permiten cualquier trfico desde la zona GREEN
(Interna) hacia ORANGE (DMZ) y BLUE (Wireless), pero no desde la DMZ hacia la zona Interna.

Las reglas de sistema para System access define que cualquier origen que entre a la interface
GREEN, ORANGE, BLUE o sea trfico que valla para el Endian se permiten siempre y cuando vallan
para los siguientes servicios:
DNS.
ICMP.
NTP.
HTTP.
Importante tener presente que no se permite nada que se origine de Internet o sea que entre a la
interface RED a ecepcion de conexiones establecidas desde el interior.
Entonces teniendo claro las reglas por defecto y de sistema procederemos a crear y configurar
nuestras reglas.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 25

Publicar los servicios de HTTP y FTP en internet
Para la realizacin de la publicacin de estos servicios solo basta con realizar un DNAT para esos
servicios, entonces nos vamos para la pestaa FIREWALL > submen Port forwarding / NAT y a
subes a Port forwarding / Destination NAT.

En esta captura observamos la realizacin del DNAT, le indicamos que si un paquete llega
especficamente para la ip 192.168.1.253 por la capa de transporte y su protocolo TCP con el
puerto de destino 80 cambie la ip de destino a 172.16.2.253 e igualmente el puerto 80.
Aplicamos la configuracin y con eso esta nuestro servicio publicado.

Para la publicacin del servicio de FTP igualmente es el mismo proceso.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 26

Opcional habilitamos el log para esa DNAT y un etiquetado el cual nos indique que realiza esa
DNAT o mejor el objetivo del DNAT.

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 27

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 28

En las dos ltimas imgenes observamos que podemos acceder desde internet a los servicios
publicados en la DMZ.

Observamos las conexiones actuales y su estado.

Finalmente permitimos conexiones a HTTP para permitir que los equipos Linux se puedan
actualizar.
Mind Wide Open
GROUP | ???

MiNdWiDe - Group 29

Conclusiones
Es una solucin community lo cual nos permite su adquisicin sin consto alguno.
Su implementacin es muy comn en empresas medianas y se adapta muy bien a estos entornos.
Se dispone de una comunidad, esto permite u ofrece una amplia fuente de informacin para su
implementacin y solucin de inquietudes.
La versin community no tiene las prestaciones que nos puede ofrecer la versin Enterprice.
Bibliografa
http://www.endian.com/es/

Mind Wide Open
GROUP | ???

MiNdWiDe - Group 30

Gracias
Integrantes
Juan Alejandro Bedoya Jose De Arlex Dominguez
Neifer Erney Giraldo Jhon Fredy Herrera
Yojan Leandro Usme

Fase 2 Actividad Firewall Linux Endian

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fase 2 Actividad Firewall Linux Endian

Cargado por

Copyright:

Formatos disponibles

Seguridad de la red

Diseo del plan de seguridad de la informacin

También podría gustarte