INSTALACION Y CONFIGURACION DE SISTEMA PERIMETRAL:

ZEROSHELL






ANA KATERINE MONTESINOS GELVEZ
CODIGO: 1150013


PROFESOR: JEAN POLO CEQUEDA

MATERIA: SEGURIDAD: INFORMATICA


UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
I SEMESTRE 2013



TABLA DE CONTENIDO



1. CONCEPTUALIZACION
Qu ZEROSHELL?
Caractersticas de esta distribucin

2. Descarga de Zeroshell

3. INSTALACION
1. Maquina en Virtual Vox
2. Ingresar a la pgina

4. CONFIGURACION BASICA
4.1 Asignar IP externa y externa
4.2 Asignar GATEWAY
4.3 Establecer autenticacin

5. CREAR USUARIOS
5.1 Agregar un usuario
5.2 Ver listado de usuarios
5.3 Editar usuarios

6. AUTORIZAR SERVICIOS

7. FILTRAR PGINAS









INSTALACIN Y CONFIGURACION DE SISTEMA PERIMETRAL:
ZEROSHELL

1. CONCEPTUALIZACION

Qu ZEROSHELL?

Zeroshell es una distribucin Linux para servidores y dispositivos integrados destinados a la
prestacin de los principales servicios de red LAN requiere. Est disponible en forma de Live
CD o la imagen de Compact Flash y se puede configurar y administrar utilizando su navegador
web.

Caractersticas de esta distribucin

Las principales caractersticas de esta distribucin de Linux para aplicaciones de red se
enumeran a continuacin:
De equilibrio de carga y conmutacin por error de varias conexiones a Internet;
UMTS/HSDPA conexiones mediante el uso de mdems 3G;
Servidor RADIUS para proporcionar una autenticacin segura y la gestin automtica
de las claves de cifrado para el Wireless 802.11b, 802.11g y 802.11a redes que
soportan el protocolo 802.1x en el EAP-TLS, EAP-TTLS y PEAP forma o la
autenticacin menos seguro del cliente de direccin MAC, WPA con TKIP y WPA2 con
CCMP (802.11i queja) se apoyan demasiado, el servidor RADIUS tambin puede, en
funcin del nombre de usuario, grupo o direccin MAC del suplicante, permitir el
acceso de un 802.1Q VLAN ;
Portal Cautivo para apoyar el inicio de sesin web, en redes cableadas e inalmbricas.
Zeroshell acta como puerta de enlace de las redes en la que el portal cautivo est
activo y en la que las direcciones IP (por lo general pertenecientes a las subredes
privadas) son asignados dinmicamente por el servidor DHCP. Un cliente que tiene
acceso a esta red privada debe autenticarse a travs de un navegador web utilizando
Kerberos 5 nombre de usuario y contrasea antes de que el firewall del Zeroshell
permite al pblico acceder a la LAN. El Captive Portal se utilizan a menudo para
proporcionar acceso autenticado a Internet en los hotspots en alternativa al protocolo
de autenticacin 802.1X demasiado complicado de configurar para los usuarios.
Zeroshell implementa la funcionalidad de Portal Cautivo en forma nativa, sin necesidad
de utilizar otro software especfico NoCat o Chillispot;
QoS (Quality of Service) y de gestin de trfico para controlar el trfico en una red
congestionada. Usted ser capaz de garantizar el ancho de banda mnimo, limitar el
ancho de banda mximo y asignar una prioridad a una clase de trfico (til en
aplicaciones de red sensibles a la latencia como VoIP). El ajuste anterior se puede
aplicar en interfaces Ethernet, redes privadas virtuales, bridges y bondings VPN. Es
posible clasificar el trfico mediante el uso de L7 filtros que permitan la inspeccin
profunda de paquetes (DPI), que puede ser til para dar forma a las aplicaciones de
VoIP y P2P;

Servidor proxy de HTTP que es capaz de bloquear las pginas web que
contienen virus. Esta caracterstica se implementa con la solucin antivirus ClamAV y
el servidor proxy HAVP. El servidor proxy trabaja en proxy transparente el modo en el
que, no es necesario configurar los navegadores de los usuarios a usarlo, pero las
peticiones http ser redirigido automticamente;
Punto de acceso inalmbrico con mltiples SSID y VLAN de apoyo utilizando las
tarjetas de red WiFi basada en el chipset Atheros. En otras palabras, un cuadro de
Zeroshell con uno de tales tarjetas WiFi podra convertirse en un punto de acceso
IEEE 802.11a/b/g proporciona autenticacin fiable y el intercambio de claves
dinmicas de 802.1X y protocolos WPA. Por supuesto, la autenticacin se lleva a cabo
con EAP-TLS y PEAP sobre el servidor RADIUS integrado;
Host-a-LAN VPN con L2TP/IPsec en el que L2TP (Layer 2 Tunneling Protocol)
autenticado con Kerberos v5 nombre de usuario y la contrasea es encapsulado
dentro de IPSec autenticada con IKE que utiliza certificados X.509;
VPN Lan-to-LAN con la encapsulacin de datagramas Ethernet en SSL/TLS de tnel,
con soporte para VLAN 802.1Q y configurar en la vinculacin de balanceo de carga
(aumento de banda) o la tolerancia a fallos (aumentar la fiabilidad);
Enrutador con rutas estticas y dinmicas (RIPv2);
Bridge 802.1d con protocolo Spanning Tree para evitar bucles, incluso en la presencia
de rutas redundantes;
LAN virtual 802.1Q (VLAN etiquetado);
Firewall Packet Filter y Stateful Packet Inspection (SPI) con filtros aplicables en las dos
rutas y bridges en todo tipo de interfaces, incluyendo VPN y VLAN;
Es posible rechazar o forma de uso compartido de archivos P2P trfico mediante el
uso de iptables IPP2P mdulo en el Firewall y QoS clasificador;
NAT para utilizar la red LAN clase de direcciones privadas ocultas en la WAN con
direcciones pblicas;
Port Forwarding TCP/UDP (PAT) para crear servidores virtuales. Esto significa que
clster de servidores reales se vern con una nica direccin IP (la IP del servidor
virtual) y cada solicitud ser distribuido con Round Robin algoritmo a los servidores
reales;
Multizona servidor DNS con la gestin automtica de la Resolucin Inversa in-
addr.arpa;
Subred multi servidor DHCP con la posibilidad de IP fija en funcin de la direccin
MAC del cliente;
Cliente PPPoE para la conexin a la WAN a travs de ADSL, DSL y lneas de cable
(requiere un adecuado MODEM);
Cliente de DNS dinmico para llegar fcilmente a la sede, incluso cuando la IP es
dinmica;
NTP (Network Time Protocol) del cliente y el servidor host para mantener
sincronizados los relojes;
Servidor Syslog para la recepcin y catalogacin de los registros del sistema
producido por los hosts remotos, incluidos los sistemas Unix, routers, switches, puntos
de acceso Wi-Fi, impresoras de red y otros compatibles con el protocolo syslog;
Autenticacin Kerberos 5 utilizando un enfoque integrado y transversal KDC-
autenticacin entre reinos (cross-authentication);
LDAP, NIS y RADIUS autorizacin;

X509 entidad emisora de certificados para la emisin y gestin de certificados
electrnicos;
Unix y Windows Active Directory mediante la interoperabilidad LDAP y Kerberos 5 de
autenticacin reino cruz.


2. Descarga de Zeroshell

Zeroshell es una distribucin Live CD, es decir, que no es necesario instalarlo en el disco duro,
ya que puede operar directamente desde el CD-ROM en el que se distribuye.

En la pgina de Zeroshell podemos descargar el iso de esta distribucin, para mayor
comodidad escogemos la versin que viene para Virtualbox la cual ya tiene algunas
configuraciones por defecto.

Podemos descargarlo entrando a la pgina http://www.zeroshell.org/download/



Y seleccionamos la opcin de descarga de Image for VirtualBox, como se
muestra en la figura anterior.

3. INSTALACION

Para instalar Zeroshell, primero se tuvo que hacer el procedimiento anterior.
Ahora si podemos proceder:

3.1. Maquina en Virtual Vox

Hay que descomprimir el archivo zip, preferiblemente en el directorio donde se
almacenan las maquinas virtuales de Virtualbox.

Despus de esto, para abrir la maquina virtual de Zeroshell, elegimos de la
carpeta descomprimida y le damos doble clic al el cubo azul claro (el que se
muestra en la figura).







Esta accin abrir el programa de virtualvox y mostrara cargada en la lista de
maquinas virtuales la maquina virtual de Zeroshell.



Esta mquina virtual viene con una particin asignada para guardar los cambios
de las configuraciones y a su vez trae configurado un servidor DNS de ejemplo.

Ahora zeroshell est listo para configurarse.


4. CONFIGURACION BASICA

4.1 Configuracin bsicas de la maquina virtual

Primero hay que
establecer las dos redes
que vamos a usar, la red
interna, y la red que utiliza
nuestro sistema operativo
anfitrin. Para esto,
seleccionamos la maquina
virtual y seleccionamos el
icono configuracin que se
encuentra en forma de
tuerca naranja en la parte
superior izquierda de
Virtualbox. Esta accin
abrir la siguiente ventana.




Una vez all, escogemos la opcin Red.



En la pestaa inicial (Adaptador 1), en el men de conectado a, seleccionamos red
interna, y se le da nombre a la red interna.

Y en la pestaa Adaptado 2, selecciona la opcin Adaptador puente, que es la red
del anfitrin.

Luego deshabilitamos los recursos que no va usar esta mquina, como los de
audio y puertos usb.







Despus de esto ya podemos proceder abrir la maquina virtual. Para eso damos
doble clic sobre la maquina virtual, o tambin podemos seleccionar la maquina
virtual y dar clic en el icono iniciar que es una flecha verde.

Al terminar de cargar la maquina virtual nos muestra la siguiente ventana.



Este es el men de configuraciones de Zeroshell tipo terminal, abre por default la
sesin del administrador.

En este men se puede activar o desactivar un perfil, cambiar la contrasea del
administrador, se pude ver la tabla de enrutamiento, las reglas del cortafuegos,
mostrar las interfaces de red, administrar las ips de las interfaces, entre otras
opciones.


4.2 Asignar IP interna y externa

Como primera medida se va a establecer cules son las ips de nuestra red, cual
pertenece a la interfaz 0 (eth00) y cual a la interfaz 1 (eth01).

Para hacer esto, hay que escoger la opcin <I> IP Manager

En el terminal que se mostro en la figura anterior, digitamos: i

Esto mostrara la siguiente ventana:



All escogemos la <M>, para poder modificar la direccin IP de una interfaz
especifica. Esto mostrara:



Esta primera opcin es para escribir la interfaz a la cual le deseamos asignar o
modificar la direccin IP. Entonces como inicialmente vamos a configurar al
interfaz 0, escribimos al frente eth00 y damos enter.

Esto muestra las especificaciones de la interfaz seleccionada, y la siguiente lnea
aparecer para escribir cual IP vamos a modificar, como en este caso solo es una,
escribimos: 1 y damos enter.

Luego sale otra lnea que indica la IP que tiene asignada esta interfaz y al frente
tenemos que escribir la nueva IP, y damos enter. Para este caso la IP nueva ser:
192.168.0.100.

Esta direccin IP debe ser diferente a la que manejan o tenga asignada un host,
para no crear conflictos.

Despus aparece en otro lnea la mscara de subred que tena asignada, y al
frente toca escribir la mscara de la red que tenemos, es decir, 255.255.255.0.

Y por ultimo pide el estado de la interfaz, all escribimos up.

As queda modificada con xito, la IP de la interfaz eth00. Luego vuelve a salir el
men anterior, y volvemos hacer el mismo procedimiento para eth01. Pero con la
IP correspondiente que se le va dar a la red externa. Al terminar la configuracin
se mostraran los cambios as:








4.3 Iniciar Sesin

Ahora bien para seguir con las configuraciones, podemos ingresar a travs del
navegador a la sesin del administrador y seguir configurando el servidor de
seguridad.

Para ingresar a la interfaz web de Zeroshell, solo debemos colocar en el
navegador la direccin IP de la interfaz eth00, as:



Para entrar como administrador los datos de ingreso son:

Username: admin
Password: zeroshell

El password es ese a menos que lo haya modificado en la maquina virtual.

Ahora ingresa a la interfaz de zeroshell.








4.4 Configurar Adaptadores de red

Seleccionamos la opcin NETWORK. Aqu la interfaz muestra las interfaces
creadas anteriormente con sus IPs.



Normalmente ETH00 es el adaptador de red interno (interfaz segura del servidor
de seguridad) y ETH01es el externo que comunicarse con router.Using xDSL
Aadir botones de IP que puede configurar las direcciones IP estticas para estas
interfaces.

He elegido para la interfaz interna 192.168.0.100 (ETH00) y 192.168.1.1 para el
externo (ETH01), ahora
me puedo asignar la puerta de enlace por defecto en el boton DEFAUT GW. Mi
puerta de enlace es 192.168.0.1, ahora puedo comprobar las rutas de la esttica
en Men del router:








Tipologa de la red.



Ahora ya podemos empezar a crear polticas para nuestra red interna
(192.168.0.0/24), o usar el portal cautivo para crear usuarios y contraseas para
los usuarios internos que quieren usar el navegador de internet.





4.5 Navegacin por Internet


Para que los clientes internos puedan hacer uso de la conexin a Internet,
debemos activar Network Address Translation (NAT) para protegerlos.

Usando el men Router, hay que hacer clic en la opcin NAT, y una ventana,
donde tenemos que pasar la interfaz ETH01 a las interfaces visibles, as.





5. USUARIOS

Esta configuracin se hace en el men USERS.

5.1 Agregar un usuario

Para agregar un nuevo usuario, damos clic en Add. Esto abre dentro de la interfaz
un formulario donde llenamos los datos del nuevo cliente a agregar.





Se llenan los datos, aqu podemos asignar la contrasea a este usuario y para
guardar, damos clic en Submit.



5.2 Ver listado de usuarios


Para ver el listado de los usuarios de la red interna creados, damos clic en la
pestaa List. Y esta mostrara la lista de los usuarios y un detalle de los datos
bsicos de estos.









5.3 Editar usuarios

Para editar los usuarios, tenemos u elegir el usuario en la lista de usuarios y le
damos clic a la pestaa editar.



6. Establecer autenticacin

Para activar la autenticacin tenemos que ingresar al men CAPTIVE PORTAL.

Primero hay que agregar los servicios que sern autorizados por el servidor, por
defecto este tiene el servicio DNS y el DHCP, agregamos el de HTTP, con el
puerto 80.







Ahora le damos clic a la pestaa autenticacin y esta abre la siguiente
visualizacin:





Podemos modificar el formato http de la autenticacin, para que quede
personalizados, le damos guardar en SAVE, y luego ACTIVE.


7. FILTRAR PGINAS

La nica manera de filtrar paginas en a travs de listas negras. Las listas negras
se crean en el men, HTTP PROXY, en Manage.