Procedimiento de configuracin de Firewall

CONTENIDO

INSTALACIN Y CONFIGURACIN CLIENTE OPENVPN. .................................................................. 3 1.1 1.2 CONFIGURACIN DE CUENTA OPENVPN....................................................................................................... 6 EJECUCIN Y CONEXIN DEL CLIENTE OPENVPN ........................................................................................ 6 CONFIGURACIN GENERAL FIREWALL .......................................................................................................... 7 Paso 1 instalar SSH................................................................................................................................ 8 Paso 2 modificar archivo de configuracin ........................................................................................... 8 Configuracin general SSH.................................................................................................................... 9

2 3

CONFIGURACIN FIREWALL (IPTABLES) ............................................................................................. 7 2.1 INSTALACIN Y CONFIGURACIN SSH .................................................................................................. 8 3.1.1 3.1.2 3.1.3

INSTALACIN Y CONFIGURACIN GENERAL DE SQUID ................................................................. 9 4.1 INSTALACIN SQUID ...................................................................................................................................... 9 4.1.1 Paso 1 instalacin mediante YUM ......................................................................................................... 9 4.1.2 Paso 2 modificar archivo squid.conf ...................................................................................................... 9 4.2 CONFIGURACIN GENERAL SQUID ................................................................................................................ 9

INSTALACIN WEBMIN .............................................................................................................................. 10 5.1 PASOS DE INSTALACIN .............................................................................................................................. 10 5.1.1 Paso 1: Instalar el Repositorio de Webmin. ......................................................................................... 10 5.1.2 Paso 2: Agregar la llave GPG e instala Webmin................................................................................. 10

INSTALACIN SARG .................................................................................................................................... 11 6.1 INSTALACION ............................................................................................................................................... 11 6.1.1 Paso 1 instalar compiladores y utilidades ........................................................................................... 11 6.1.2 Paso 2 descargar e instalar Sarg ......................................................................................................... 11 6.1.3 Paso 3 modificar archivo de configuracin ......................................................................................... 11

1 Instalacin y configuracin cliente OPENVPN.

Instalacin software cliente en Windows: Se debe descargar la ltima versin estable de OpenVpn Client, en este caso ser la versin 2.2.2, a continuacin se muestra la instalacin paso por paso:

Pgina 3 de 11

Pgina 4 de 11

La instalacin no contempla cambios algunos, solo se requiere instalar aceptando en cada ventana el tipo de instalacin y componentes ofrecidos por la instalacin, a continuacin se proceder con la configuracin para agregar la cuenta OpenVPN.

Pgina 5 de 11

1.1

Configuracin de cuenta OpenVPN.

En esta etapa debemos crear un archivo client.ovpn, el cual ser el archivo de configuracin del cliente de la aplicacin y junto con ello debemos mover el archivo de la CA (autoridad certificadora), al directorio raz de la aplicacin en Windows. El archivo de configuracin quedara de la siguiente manera: client.ovpn client dev tun proto udp remote 200.68.8.34 10500 resolv-retry infinite nobind persist-key persist-tun ca ca.crt ns-cert-type server comp-lzo verb 3 Este se debe guardar en la siguiente direccin C:\Program Files\OpenVPN, Junto con el certificado de la CA ca.crt.

1.2

Ejecucin y conexin del cliente OpenVPN

Luego de crear el archivo de configuracin del cliente y tener ubicado en el mismo directorio el certificado de la CA, se debe ejecutar la aplicacin openvpn-gui-1.0.3 como administrador, la cual est ubicada en: C:\Program Files\OpenVPN\bin. El icono se ubicara en una esquina de la barra inferior de nuestro Windows como se muestra a continuacin:

A continuacin mediante el botn secundario del mouse aparecer la opcin conectar en ella se deber ingresar el user y la password creadas anteriormente en nuestro servidor, el icono cambiara a color verde cuando la conexin se haya establecido.

Pgina 6 de 11

2 Configuracin Firewall (iptables)

A continuacin se muestra una descripcin general de la configuracin del Firewall, en la incidencia del Tracker nmero 0006081, se adjunta el archivo de configuracin completo de Iptables (Firewall):

2.1

Configuracin general Firewall

- Enmascaramiento Interface WAN - Re direccionamiento desde LAN al puerto Squid 3128. - Re direccionamiento entrante, ping y puerto 80, desde WAN hacia Servidores DMZ. - Ping activado para LAN WAN y DMZ, entrante y saliente (INPUT Y OUTPUT) - SSH activado para WAN y DMZ saliente, y para LAN de entrada y salida. - Telnet activado para LAN, WAN y DMZ, solo de salida (OUTPUT) - Servicio Whois activado, mediante los puertos 43, 63 y 4321. - Servicio DNS activado el puerto 53 de Salida, para realizar consultas. - Servicio HTTP activado el puerto 80 de Salida. - Servicio NTP activado el puerto 123, TCP y UDP, DMZ Y LAN hacia firewall. - Servicio Squid activado en el puerto 3128. - Servicio Webmin activado LAN, puerto 10000. - Servicio OpenVpn Forward desde la LAN, puerto 1194. - Se Establecieron conexiones UDP, DNS y Passive FTP. En Modo Forward. - Ping activado para LAN WAN y DMZ, en Forward. - Servicio FTP LAN hacia WAN, en modo Forward, puertos 20:21 y 6000:6020 - Servicio FTP LAN hacia DMZ, en modo Forward, puertos 20:21. - Servicio SSH en LAN Forward, puerto 22. - Servicio Telnet en Forward, puerto 23. - Servicio SMTP en Forward, puerto 25. - Servicio Whois en Forward, puerto 43. - Servicio NetBios en Forward, puertos 135, 139 y 445. (Administracin DMZ) - Servicio VPN en Forward, puertos 500, 1701, 1723, 4500. - Servicio DNS desde LAN a WAN Forward, DNS movistar y google, puerto 53. - Servicio DNS desde DMZ a WAN Forward, DNS movistar y google, puerto 53. - Servicio HTTP desde WAN a DMZ Forward, puerto 80. - Denegacin de acceso a TeamViewer, bloqueo direcciones ip, puerto 80. - Servicio NTP en Forward, puerto 123. - Servicio SMPT-SSL en Forward, puertos 465 y 587. - Servicio IMAP en Forward, puerto 993. - Servicio POP3 en Forward, puerto 995. - Servicio RDP desde LAN a DMZ en Forward, puerto 3389. - Servicio KeyServer en Forward, puerto 11371. - Activar SpeedTest Entel Forward, direccin 164.77.252.196 puerto 17025. - Activar acceso a Mega salud Forward, puerto 9090 - Activar acceso a Webpay Forward, puerto 1444 - Acceso tun0 (interface VPN) a LAN con RPD, icmp, SSH. * icmp y RDP abierto, solo para red local * ssh habilitado para equipo especifico. - Se configuran parmetros generales para mitigacin de ataques tipo port scan. Configuracin de acceso mediante puerto 443

Pgina 7 de 11

-Acceso a Afp Capital, Afp Cuprum, Isapre Banmedica, Isapre Vida Tres, AFP Hbitat, Coopeuch, Banco Security, Banco Santander-Banefe, PAYPAL, Gmail, Banco Scotiabank/Desarrollo, Banco Estado, OpenGETS, Servipag, Superpay, E-pagos, LAN airlines, Skyairline, CheckMyTrip, Transbank, Chilectra, Aguas Andinas, Tarjeta Mas, Banco Falabella, CMR Falabella, Ripley, Provida, Banco Falabella, Banco ITAU, Banco Tbanc, Banco BCI, Banco BBVA, Banco Edwards, Banco Chile, Banco Santander, U.San Sebastian, Corpbanca, Movistar, VTR, Plugins radio ADN, Plugins Mozilla Firefox y Thunderbird, Gravatar, Registro Civil, AFC Chile, Previred, Oracle, PullmanBuss, Wikispaces.com, PatPass, produnteev.com, Jboss,teambox.com , Mas Vida, Netfilter, SII, Registro Civil, AFC chile, Nessus, AFP modelo, Dicom, acepta.com. - Se habilito acceso completo a puerto 443, para rango de usuarios privilegiados. - Se cre adems un rango de direcciones privilegiadas con acceso a 443, en modo Forward. Reglas de Seguridad adicionales: - Confundir OS Fingerprint de NMAP. - Proteccin contra TCP SYN Cookies. - Evitar fragmentacin de IP. - Desactivo de respuesta a los ICMPs de tipo echo. - Evitar la devolucin del ping de Broadcast. - Activar proteccin contra malas respuestas ICMP. - Proteccin contra IP Spoof. - Desactivar Re-direccin de ICMP. - Desactivar enrutado IP. - Bloquear spoofed packets, source routed packets (SRP) y redirect packets. - Bloqueo de Escaneo Nmap. - Bloqueo de packets con bad flags (usados por FIN, NULL, XMAS escaneos de Nmap). Polticas de Filtrado: - Habilitacin de polticas de filtrado por defecto en DROP. - Habilitacin de polticas de NAT.

3 Instalacin y configuracin SSH

En el caso de no venir instalado por defecto en el sistema operativo se deber instalar y configurar. 3.1.1 Paso 1 instalar SSH

# yum -y install sshd 3.1.2 Paso 2 modificar archivo de configuracin

# vim /etc/ssh/sshd_config LoginGraceTime 20 PermitRootLogin no AllowUsers sistemas@192.168.7.* MaxAuthTries 1 MaxSessions 1

Pgina 8 de 11

3.1.3

Configuracin general SSH

-Se desactivo el login mediante SSH al Usuario Root. -Se activo un tiempo de 20 segundos para realizar el logeo. -Se seteo con un solo intento de logeo al errar en clave se cierra conexin.

4 Instalacin y Configuracin General de Squid

4.1
4.1.1

Instalacin Squid
Paso 1 instalacin mediante YUM

# yum y install squid (versin 3.1.10-9.el6_3.i386) 4.1.2 Paso 2 modificar archivo squid.conf

# vim /etc/squid/squid.conf Agregar http_port 3128 transparent dns_nameservers 8.8.8.8 8.8.4.4 cache_mem 256 MB maximum_object_size_in_memory 50 MB minimum_object_size 0 KB maximum_object_size 300 MB cache_mgr mcerda@opengets.cl visible_hostname SquidProxy acl redlocal src 192.168.1.0/24 acl blacklist url_regex -i "/etc/squid/blacklist" acl dominios dstdomain -i "/etc/squid/dominios" acl extensiones urlpath_regex -i "/etc/squid/extension reply_body_max_size 10 MB redlocal A continuacin de muestra una descripcin general con las configuraciones realizadas al servidor Squid, para mayor detalle, los archivos de configuracin se encuentran en la incidencia del Sistema Tracker de la empresa con el numero 0006081.

4.2

Configuracin general Squid

- Se configura Squid en modo transparente a travs del puerto 3128 - Se agregan los servidores DNS de Google (8.8.8.8, 8.8.4.4) - Se setea mximo de utilizacin de RAM para procesos de cache a 250MB RAM. - Se limita el tamao mximo de la carpeta de almacenamiento de cache a 1GB. - Se limita el almacenamiento mximo de un archivo en cache a 100MB - Se modificaron reglas para optimizar el refresco del cache, junto Pgina 9 de 11

con otros parmetros para acelerar el Proxy. - Se crean ACL segn privilegios para control de acceso: * ACL de listas negras * ACL de Dominios * ACL de extensiones de archivo * ACL por dispositivos, maquinas virtuales, servidores, etc. - A la ACL redlocal se le aplico filtro por ACL de dominios, extensiones y blacklists. - A la ACL privilegiados acceso completo. - Se deniega cacheo para extensiones de streaming (.asx y .asf) - Se limita tamao mximo de descarga a 10MB para la ACL redlocal. - Se personalizo mensajes de informacin y errores del Proxy para usuarios

5 Instalacin Webmin
Para facilitar la configuracin y el uso de servicios como Squid y Sarg, se utilizara Webmin, a continuacin se muestra en detalle los pasos para su correcta instalacin.

5.1

Pasos de Instalacin

5.1.1

Paso 1: Instalar el Repositorio de Webmin.(versin 1.160-1)

# cat > /etc/yum.repos.d/webmin.repo << EOF [Webmin] name=Webmin Distribution Neutral #baseurl=http://download.webmin.com/download/yum mirrorlist=http://download.webmin.com/download/yum/mirrorlist enabled=1 EOF 5.1.2 Paso 2: Agregar la llave GPG e instala Webmin.

# rpm --import http://www.webmin.com/jcameron-key.asc # yum install webmin Ahora se puede acceder a webmin por medio del puerto 10000 mediante web: https://ipservidor:10000

Pgina 10 de 11

6 Instalacin Sarg
6.1
6.1.1

Instalacion
Paso 1 instalar compiladores y utilidades

# yum y install gcc make wget httpd 6.1.2 Paso 2 descargar e instalar Sarg

# wget http://sourceforge.net/projects/sarg/files/sarg/sarg-2.3.3/sarg-2.3.3.tar.gz/download # tar zxvf sarg-2.3.3.tar.gz # cd sarg-2.3.3.tar.gz # ./configure # make # make install 6.1.3 Paso 3 modificar archivo de configuracin

# vim /usr/local/etc/sarg.conf title Reporte de Navegacin output_dir /var/www/html/reportes date_format e lastlog 15

Pgina 11 de 11