Antonio Molina Muoz

SAD

Configuracin de un Firewall con interfaz grfica

En aquesta activitat explorars el firewall d'interfcie grfica del teu sistema operatiu. !s a la configuraci avan"ada del firewall #en el cas de $indows% i explora les seves opcions& regles de sortida' d'entrada' de seguretat de connexi i supervisi. (rova'l variant alguna configuraci i intentant accedir a serveis #F)(' *ttp' etc.%' uns o+erts al firewall i altres tancats. Fes captures de pantalla de tot el proc!s i pu,a-les aqu. Para esta prctica vamos a utilizar el Firewall de Windows Server 2008. Para aadir re las tenemos !ue ir a "nicio # $erramientas Administativas # Firewall de Windows con Se uridad Avanzada.

Antonio Molina Muoz

SAD

Reglas de Entrada / Salida

%o ms usual es con&i urar las re las de entrada' para permitir o no el acceso a los di&erentes servicios !ue podemos o&recer. (n mi caso' ten o las si uientes re las de entrada)

*en o aadidas re las entrantes para permitir el servicio de &tp + telnet. (l procedimiento es mu+ sencillo. Aadimos una nueva re la ,de entrada en este caso-)

Antonio Molina Muoz

SAD

(n el asistente de con&i uraci.n tenemos di&erentes opciones) (rograma /se este tipo de re la de &irewall para permitir una cone0i.n 1asada en el pro rama !ue intenta conectarse. De &orma predeterminada' el pro rama tiene permitido aceptar cone0iones en cual!uier puerto. Para limitar una re la de pro rama con el &in de !ue solo permita el tr&ico en los n2meros de puerto especi&icados' despu3s de crear la re la' use la &ic4a Protocolos + puertos para cam1iar las propiedades de la re la. (uerto /se este tipo de re la de &irewall para permitir una cone0i.n 1asada en el n2mero de puerto *5P o /PD a trav3s del cual intenta conectarse el e!uipo. De &orma predeterminada' cual!uier pro rama !ue se e6ecute en el e!uipo puede aceptar el tr&ico de red en un puerto a1ierto con este tipo de re la. Para limitar el puerto a1ierto a un pro rama especi&icado' despu3s de crear la re la' use la &ic4a Pro ramas + servicios para cam1iar las propiedades de la re la. (redefinida /se este tipo de re la de &irewall para permitir una cone0i.n seleccionando uno de los pro ramas o servicios de la lista. (l asistente se encar a de todo' lo 2nico !ue de1emos especi&icar es el tipo de cone0i.n !ue aceptaremos ,se ura o no-. (ersonalizada /se este tipo de re la de &irewall para crear una re la de &irewall !ue puede con&i urar para permitir una cone0i.n 1asada en criterios no cu1iertos por los otros tipos de re las de &irewall. (n esta m!uina ten o con&i uradas tres re las' dos re las de puerto' en las !ue a1ro el puerto 22 para SS$ + 27 para F*P' aun!ue no 4e especi&icado para !ue pro rama' estn a1iertos para cual!uier servicio. %a tercera re la es una re la personalizada para permitir el uso de F*P pasivo. De1ido a !ue se utilizan puertos aleatorios del servidor' tenemos !ue permitir las cone0iones entrantes por cual!uier puerto siempre !ue sean escuc4adas por el servicio de F*P.

Antonio Molina Muoz

SAD

5ompro1amos !ue las re las &uncionan) .egla (uerto //& SS$

SF*P con Filezilla) 5reamos un sitio)

Antonio Molina Muoz

SAD

5onectamos)

.egla (uerto /0& Pro1amos a4ora con el Servicio F*P (n primer lu ar vo+ a des4a1ilitar la re la creada para el F*P pasivo.

Pro1amos a conectar) 8os conectamos al servidor)

Antonio Molina Muoz

SAD

5omo vemos' no 4a+ nin 2n pro1lema)

Antonio Molina Muoz 9ue pasa si !ueremos utilizar el servidor o este est con&i urado para utilizar F*P pasivo:

SAD

8o podemos conectar por!ue 4emos a1ierto un puerto' lo !ue tenemos !ue 4acer es permitir el servicio. Para ello aadimos una nueva re la) Seleccionamos personalizada.

Antonio Molina Muoz

SAD

(n el si uiente paso' seleccionamos ;*odos los pro ramas< + le damos a personalizar servicios)

A re amos el servicio F*P de Microso&t.

Antonio Molina Muoz

SAD

(n el si uiente paso seleccionamos *5P + el resto lo de6amos tal cual)

Antonio Molina Muoz %as si uientes pestaas ,=m1ito' Acci.n + Per&il- las de6amos como estn...

SAD

Antonio Molina Muoz

SAD

So1re !ue per&il !ueremos usar esta re la: A nivel de Dominio: Pu1lico o Privado. Aun!ue en mi caso' no ten o dominio' lo podemos de6ar todo activado.

>a tenemos aadida nuestra re la)

Antonio Molina Muoz

SAD

/na vez 4ec4o esto +a podemos utilizar el F*P pasivo.

5omo 4emos visto' si !ueremos dene ar un servicio' solo tenemos !ue des4a1ilitar la re la re&erida. %as re las de salida se con&i uran de la misma &orma.

Antonio Molina Muoz

SAD

Reglas de conexin:

1islamiento /na re la de aislamiento a?sla los e!uipos al restrin ir las cone0iones entrantes en &unci.n de las credenciales' como la pertenencia al dominio o el cumplimiento de directivas !ue de&inen el so&tware re!uerido + las con&i uraciones del sistema. %as re las de aislamiento le permiten implementar una estrate ia de aislamiento de dominio o servidor. (n el asistente de con&i uraci.n de aislamiento podremos decidir si !ueremos solicitar o re!uerir autenticaci.n a las cone0iones entrantes +@o saliente o ele ir el m3todo de autenticaci.n !ue !ueremos !ue se utilice ,Aer1eros' Aer1eros BC' certi&icados-. Asi mismo' de1eremos ele ir el per&il en !ue !ueremos !ue act2e la re la +' por 2ltimo' darle un nom1re identi&icativo.

Antonio Molina Muoz Exencin de autenticacin

SAD

5uando solicitamos un proceso de autenticaci.n podemos desi nar e!uipos !ue est3n e0entos de dic4o re!uerimiento. 2e servidor a servidor /na re la de servidor a servidor prote e las cone0iones entre e!uipos especi&icados. (ste tipo de re la' por lo eneral' prote e las cone0iones entre servidores. De1eremos especi&icar los e0tremos de red entre los !ue se prote ern las comunicaciones' los re!uisitos de autenticaci.n + los tipos de autenticaci.n !ue desee usar. )3nel /na re la de t2nel permite prote er las cone0iones entre los e!uipos de puerta de enlace +' eneralmente' se usa para la cone0i.n a trav3s de "nternet entre dos puertas de enlace de se uridad. De1e especi&icar los e0tremos del t2nel mediante la direcci.n "P + especi&icar el m3todo de autenticaci.n a trav3s de la con&i uraci.n de las si uientes p inas del asistente. *ipo de t2nel. (speci&i!ue el tipo de t2nel !ue desea crear) de cliente a puerta de enlace' de puerta de enlace a cliente o un t2nel de&inido por el usuario. De!uisitos) si !ueremos o no autenticaci.n. (0tremos de t2nel. "denti&i!ue mediante la direcci.n "P o el intervalo de direcciones "P los e!uipos !ue &uncionan como puertas de enlace para los e!uipos !ue &orman parte de cada e0tremo) e0tremo 7 + e0tremo 2. M3todo de autenticaci.n Per&il en el !ue act2a + nom1re.

(ersonalizada /se una re la personalizada para autenticar las cone0iones entre dos e0tremos cuando no pueda esta1lecer las re las de autenticaci.n !ue necesita mediante los otros tipos de re las disponi1les en el nuevo asistente De la de se uridad de cone0i.n.

Antonio Molina Muoz Bamos a aadir una re la para el caso t?pico en el !ue ten amos un Dominio' pero adems !ueramos aislarlo del e0terior. De la de aislamiento)

SAD

De!uerimos autenticaci.n para las cone0iones entrantes)

Antonio Molina Muoz

SAD

(l m3todo de autenticaci.n ele ido es Eer1eros' permitiendo acceso a los e!uipos pertenencientes al dominio.

Per&il todos + nom1re Aislar Dominio. /na vez 4a1ilitada' vo+ a intentar por e6emplo una cone0i.n SS$' 4a1ilitada por una re la de entrada.

Al no pertenecer al dominio la cone0i.n !ueda col ada.

Antonio Molina Muoz Bamos a aadir una e0cepci.n para poder acceder desde este e!uipo. De la de e0enci.n de autenticaci.n)

SAD

(n e0cluir e!uipos aadimos la "P o ran o de "ps !ue !ueramos e0cluir.

Antonio Molina Muoz Per&il todos + el nom1re deseado.

SAD

Pro1amos de nuevo SS$)