FIREWALL – ENDIAN - UTM

JUAN CARLOS RODRÍGUEZ CAMPO

Instructor
MAURICIO ORTIZ

Centro de Servicios y Gestión Empresarial

Tecnología en Gestión de Redes de Datos
Ficha: 1438055
SENA – ANTIOQUIA

Medellín 2018
Introducción
Durante esta práctica, se mostrará el proceso de instalación de un UTM, también
conocido como appliance, específicamente, instalaremos y configuraremos Endian,
un UTM de código abierto basad en Linux.
Procedimientos
En primer lugar, vamos a descargar la ISO de Endian, un UTM open source basado
en Linux.
Enlaces de descarga.
Objetivo
Aprender a manejar un UTM, como herramienta de profundización del dispositivo
ASA Cisco, que nos permiten aplicar reglas NAT dentro de un firewall, teniendo una
DMZ, una LAN y una WAN.
UTM
Un producto UTM generalmente incluye funciones como antivirus, antispyware,
antispam, firewall de red, prevención y detección de intrusiones, filtrado de
contenido y prevención de fugas. Algunas unidades también ofrecen servicios como
enrutamiento remoto, traducción de direcciones de red (NAT, network address
translation) y compatibilidad para redes privadas virtuales (VPN, virtual private
network).
https://www.endian.com/community/download-list/
https://sourceforge.net/projects/efw/files/Development/EFW-3.3.0/

Diagrama del escenario

Tabla de Reglas
Origen/Destino WAN LAN DMZ
WAN x Denegar todo TCP: 80, 21, 22
UPD: …
LAN Permitir todo x Permitir todo
DMZ Permitir todo Denegar todo x

Iniciamos con la instalación del firewall Endian en VMware, en este caso lo tenemos
en una imagen ISO para instalar en una máquina virtual.

Seleccionamos la opción para configurar el sistema operativo

Después.
El firewall “Endian” es una distribución de Linux, así que esa es la opción
que elegimos, y en la distribución, colocamos “otro” y la versión depende de
la ISO que hemos descargado.

Damos clic en siguiente.

Elegimos la opción de almacenar disco virtual como un único archivo, y clic
en siguiente, dejamos 8 GB por defecto.

En este paso damos clic en “Customize Hardware” para agregar la ISO del
firewall. Y clic en “Finish”.
Asignamos 1 GB de RAM y montamos la imagen ISO.

Configuramos 3 tarjetas de red (LAN, DMZ y WAN)

Iniciamos la máquina y elegimos el idioma, elegimos “inglés”.

Nos saldrá un mensaje de bienvenida, que nos permitirá instalar Endian.

Nos saldrá un mensaje, en el cual nos piden confirmar si deseamos que la
instalación del firewall realice particiones en los discos, seleccionamos “YES”

En el siguiente mensaje nos preguntan si deseamos habilitar el puerto

sería, en nuestro caso elegimos “no”.
 Luego vamos a configurar la interfaz denominada “green” la cual hace
referencia a la interfaz LAN, es decir le asignaremos una dirección IP
diferente a nuestro rango “LAN”.

1. Luego recibimos un mensaje de confirmación, en el cual nos dicen sobre

cuál IP podremos configurar nuestro firewall.
La instalación inicial de Endian queda así, mostrando solo la zona verde con
su IP estática y la zona roja con la IP pública que nos provee el ISP UNE.

Distribución de las Tarjetas de Red.

Las tarjetas de red, deben de estar repartidas de la siguiente manera, el

equipo de la LAN debe de estar en el segmento de red LAN y el servidor en
DMZ así:

Windows 10 (LAN)
Servidor CentOS 7

Endian
Ahora asignamos una IP estática en el rango de la IP del DMZ, la cual es la
192.168.20.3/24, la puerta de enlace será la IP de Endian y el DNS el que
nos provee el ISP UNE.

Probamos conectividad con Endian.

Accedemos por el navegador a Endian, para realizar las configuraciones,
para esto realizamos la excepción al firewall.
Una vez dentro, continuamos con el asistente de configuración.

Configuramos el idioma “español” y la región “America/Bogota”.

Aceptamos el acuerdo de licencia.

Elegimos “no” en restaurar el backup.

Asignamos la contraseña del administrador por interfaz web (admin) y del
(root) por SSH

Le indicamos el modo de red que va a tener y el tipo de enlace, que serán

“enrutamiento” y “roja”.
Como nuestro firewall le pusimos 3 interfaces y ya configuramos dos de ellas,
la interfaz “Green” que es LAN, la interfaz “Roja” que es WAN, ahora vamos
a seleccionar “Naranja” que hace referencia a interfaz tipo DMZ, que es la
que nos falta.

Configuramos las tarjetas de red de acuerdo al asistente (Zona Verde).

Damos clic en siguiente y configuramos la zona naranja.

Dejamos esta parte del MTU por defecto, en blanco y elegimos la opción
disponible, que es la que está en rojo.

Continuamos con el asistente de configuración y dejamos el DNS por defecto.

Dejamos la configuración de correo por defecto.

Aplicamos la configuración.

Fin de la configuración.
Configuramos las Reglas DNAT

Para ello damos clic en la superior en “Firewall” y luego damos clic en “Add
a new Port forwarding/Destination NAT rule”

Agregamos la regla DNAT, para permitir el acceso del servicio HTTP desde
la WAN a la DMZ, resaltado en rojo tenemos la IP pública y en verde tenemos
la IP de nuestro servidor CentOS 7 y damos clic en “crear regla”.
Aquí damos clic en “aplicar”.

Aquí queda en la lista, la regla HTTP, de WAN a DMZ, borramos “Allow with
IPS from:”

Agregamos la regla FTP de la misma manera.

Agregamos la regla SSH de la misma manera.

Lista de reglas DNAT

Nota: estas reglas son DNAT porque todas tienen la misma IP de destino,
solo cambia el parámetro “puerto”.
Pruebas DNAT: de WAN a DMZ

Prueba HTTP, la realizaremos del equipo físico hacia el servidor web a través
de la IP pública.

Prueba FTP, la realizaremos del equipo físico hacia el servidor web a través
de la IP pública.

Prueba SSH, la realizaremos del equipo físico hacia el servidor web a través
de la IP pública. Para esto vamos a utilizar el programa “Putty”.
Ahora, vamos a configurar las reglas SNAT

Estas reglas SNAT de origen tanto de LAN y DMZ.

En la primera regla vamos a permitir que nuestra LAN pueda ingresar a

nuestra DMZ y a la WAN por ende está permitido cualquier protocolo y
cualquier servicio.

Para esto damos clic en “source NAT” y luego clic en “Add a new source NAT
rule”

Configuramos la regla así.

Ahora, se va a permitir la regla de NAT para que la DMZ pueda ver la WAN.

Lista de reglas SNAT

Ahora, se configurará el tráfico entrante el cual sirve para permitir conexiones
a nuestro servidor.

Acá vamos a permitir el protocolo ICMP para permitir el Ping.

Ahora, se permitirá el ping desde la DMZ (Orange) a nuestra zona RED

(WAN).
Nota: Las reglas creadas anteriormente para el tráfico entrante no van a
funcionar por la configuración de nuestro firewall solo las estoy aplicando
para mostrar la evidencia del proceso y ver para qué sirven.

Lista de reglas.

Vamos a configurar las reglas de salida (Outgoing traffic) las cuales

permitirán a la LAN realizar ping a la DMZ y a la WAN ya que el nivel de
seguridad de estas 2 son menor al de la LAN, lo mismo para la DMZ le va a
permitir realizar ping a la WAN, pero no a la LAN.

Las reglas resaltadas en rojo vienen por defecto.

Primero seleccionamos la opción zone/interfaces y nos deben salir las zonas.

Las seleccionamos con el control sostenido para seleccionar ambas y le

damos actualizar regla estos mismos pasos los aplicamos a HTTP FTP Y
ICMP.
Nota: si se quieren priorizar las reglas más importantes primero podemos
configurar su posición ingresando a la regla y en la parte inferior donde dice
posición, en esa parte podemos darles preferencia a las reglas más
importantes asignándole los primeros lugares.

En el siguiente campo podemos ver las siguientes reglas (Inter-zone) las

cuales son para permitir el tráfico entre zonas.
En este paso vamos a probar las reglas de entrada y salida.

En primer paso vamos a realizar la prueba con la LAN la cual puede dar ping
a la DMZ y a la WAN (Internet) y que efectivamente también puede navegar.

Ping de LAN A DMZ

Ping LAN A WAN

Prueba de navegación en internet desde la LAN.

Prueba de ping desde la DMZ a la WAN y prueba de la DMZ a la LAN la cual
no debería funcionar porque la DMZ no tiene permitido el ping con nuestra
LAN.

Primera prueba ping a la WAN y navegación en internet.

Prueba de ping a la LAN el cual no debería de dar porque no está permitido.

Como podemos ver el ping no tuvo éxito lo cual está bien en este caso ya
que por ningún motivo una zona de menor nivel de seguridad como una DMZ
la cual está más expuesta no debe poder tener una conexión con la LAN que
es donde se encuentran nuestro servicio privador o internos de nuestra
empresa.
En la siguiente prueba vamos a realizar ping desde nuestra WAN la cual tiene
permitido ingresar a nuestros servicios públicos de la DMZ, pero no tiene
permitido realizar conexión por ping.

Primera prueba con éxito ya que la WAN por ningún motivo debe establecer
conexión con nuestra LAN.

Segunda prueba con éxito ya que la WAN no establece conexión con la DMZ,
pero si puede ver los servicios que están publicando.

El ping para revisar que la conexión no sea establecida se hace con la IP

publica ya que esta es la que está usando nuestra DMZ para poder salir a la
WAN.