Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SCREENED SUBNET
(DMZ)
Screened Subnet Dpto. Informática
Contenido
1
Screened Subnet Dpto. Informática
EL PROBLEMA: LA SEGURIDAD
Cuando una red corporativa se encuentra interconectada a una red pública, los
peligros de ataque a sus servidores, routers y sistemas internos se multiplican.
Existen multitud de tipos de ataque, como son:
2
Screened Subnet Dpto. Informática
LA SOLUCION: DMZ
Lo primero que se debe tener en cuenta cuando hablamos de seguridad en red es que
la única forma de un equipo o elemento informático sea 100% seguro es que no este
conectado a la red. En internet no existe la seguridad total, todo sistema o equipo es
vulnerable, pero existen diferentes grados de vulnerabilidad. Para un hacker que
busque vulnerabilidades en un sistema no le supone lo mismo hackear un equipo
domestico de una familia sin conocimientos informáticos que acceder a los servidores
de la NASA, esto se debe a las configuraciones de seguridad que añaden filtros y muros
que cada vez son más difíciles de flanquear.
En esta práctica vamos a trabajar sobre un esquema (cuya estructura describiré en el
siguiente punto) en la que aplicaremos una de las soluciones más viables para la
seguridad empresarial; la estructura Screened Subnet.
La arquitectura Screened Subnet, también conocida como red perimétrica o De-
Militarized Zone (DMZ) es la más utilizada hoy en día, ya que añade un nivel extra de
seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las
redes externa e interna, de forma que se consiguen reducir los efectos de un ataque
exitoso al host-bastión. Esto, al igual que otras arquitecturas, no solo aumenta la
seguridad, sino que nos permite crear un filtro entre las tres redes para controlar el
tráfico tanto de entrada como de salida.
Una vez explicado que es una DMZ y como se estructura ha llegado el momento de
hacer un cambio, en lugar de emplear un componente físico como los routers, vamos a
emplear máquinas virtuales que se valdrán del software Firewall Builder el cual, una
vez configurado, nos permitirá administrar la configuración de todos los niveles de
acceso y seguridad.
Firewall Builder es una herramienta gráfica (GUI) que permite configurar firewalls de
forma sencilla sin necesidad de conocer los comandos a ejecutar en el firewall ni su
sintaxis para la creación de reglas.
3
Screened Subnet Dpto. Informática
ESTRUCTURA Y VIABILIDAD
La arquitectura Screened Subnet, también conocida como red perimétrica o De-
Militarized Zone (DMZ) es con diferencia la más utilizada e implantada hoy en día, ya
que añade un nivel de seguridad en las arquitecturas de cortafuegos situando una
subred (DMZ) entre las redes externa e interna, de forma que se consiguen reducir los
efectos de un ataque exitoso.
Screened subnet es la arquitectura más segura, pero también la más compleja; se
utilizan dos routers, denominados exterior o Front-End e interior o Back-End,
conectados ambos a la red perimétrica como se muestra en la figura.
El conjunto de la DMZ junto con los dos Router constituye la estructura principal
de seguridad, para administrarla emplearemos el software Firewall Builder.
Firewall Builder es una GUI multifirewall. No está enfocada únicamente a permitir la
gestión de IPTables en Linux, sino que permite otras funciones como cortafuegos
en Linux, Mac OS X, OpenBSD, Solaris y FreeBSD, entre otros; además permite
gestionar otros cortafuegos como CISCO (ASA/PIX, ACLs en IOS, etc…), HP Procurve
ACL, etc.,
La GUI, permite crear un dispositivo cortafuegos y a partir de ahí, especificar el número
y tipo de interfaces de red que tiene. Podemos partir de una política de cortafuegos en
blanco o ayudarnos de diversas plantillas ya hechas basadas en escenarios típicos con
uno, dos o tres interfaces de red.
Disponemos de un equipo base con Windows donde virtualizaremos mediante Hyper-
V los diferentes routers y servicios para montar nuestra DMZ.
Por último, debemos puntualizar que el objetivo final es que tras la implementación de
la estructura se no exista ningún tipo de conectividad entre la WAN y la LAN.
4
Screened Subnet Dpto. Informática
PASO 1: HYPER-V
Hyper-V es una potente herramienta de virtualización incorporada en la mayoría de los
sistemas Windows, no obstante al no ser una herramienta de uso común viene
deshabilitada. Esto nos reduce la preparación de Hyper-V a un simple comando que
debemos introducir en PowerShell.
Empezamos ejecutando PowerShell como administrador.
5
Screened Subnet Dpto. Informática
Este programa se puede usar a nivel individual, pero principalmente esta ideado para
administrar las maquinas ubicadas en diferentes equipos (además del nuestro). Si esta
práctica se realizase en un dominio, podríamos agregar equipos del dominio a nuestro
administrador y utilizar sus máquinas de forma remota.
En nuestro caso seleccionamos nuestro equipo (el único visible) y creamos una nueva
máquina (Segunda opción de la barra lateral derecha).
Tras esto se nos ejecutará el asistente para la creación de una máquina virtual.
En la pestaña «Antes de comenzar» presionamos siguiente.
6
Screened Subnet Dpto. Informática
1
Esto puede dar lugar a confusión, es una red interna, pero esto no implica que no tenga acceso a
internet, este acceso se le dará posteriormente mediante las configuraciones de los routers.
2
La memoria RAM es susceptible a ser cambiada en función del rendimiento, ya que mi equipo solo
posee 8 GB de memoria RAM
7
Screened Subnet Dpto. Informática
Por último se nos mostrará un resumen con las características de la maquina virtual,
presionamos «Finalizar» para que se cree la máquina.
Una vez hecho esto se nos creará una maquina virtual en nuestro equipo, solo
tenemos que darle a conectar y a Iniciar.
Hecho esto procedemos a la instalación del sistema operativo seleccionado. Una vez
terminado este proceso procederemos a la configuración de la Red
8
Screened Subnet Dpto. Informática
Para empezar con los conmutadores nos vamos a la quinta opción de la barra lateral
derecha «Administración de conmutadores virtuales»
Lo configuramos según nuestros requisitos, esta red no tendrá acceso a internet hasta
que se configure correctamente el router.
9
Screened Subnet Dpto. Informática
Una vez hecho esto solo resta la configuración de red dentro del propio sistema
operativo, la cual será preferible realizar después de configurar el router.
10
Screened Subnet Dpto. Informática
PASO 4: ROUTER
Existen numerosas imágenes de routers para virtualizar por internet, para esta práctica
emplearé un router virtualizado MicroTik. Sin embargo, no profundizaré en el funcionamiento
de dicho router más allá del lo necesario para el correcto funcionamiento de la DMZ.
La creación de una maquina virtual que actúe de router es similar a la de una que
hospede un sistema operativo de uso (como puede ser Ubuntu). De esta forma solo
puntualizaré las diferencias.
Durante la asignación de memoria solo asignaremos 512MB, un router no necesita
más.
Esto se debe a que MicroTik facilita como descarga un archivo de disco duro virtual
donde ya tenemos nuestro router preparado, esto no solo facilita el proceso
eliminando la instalación si no que nos asegura una correcta configuración de inicio.
11
Screened Subnet Dpto. Informática
Para cargar el archivo .vhdx debemos crear la carpeta «Virtual Hard Disks» en el
directorio de instalación de la maquina virtual y copiar allí el archivo descargado.
Y seleccionamos el archivo.
Una vez hecho esto muestro router ya es funcional 3, ahora debemos configurar las dos
interfaces de red que tendrá; una para la red interna y otra para la DMZ
Nota: Por el momento crearé las maquinas indicando los pasos y los requisitos para su
funcionalidad posterior, en el momento en el que tengamos todos los dispositivos
preparados, procederé a estructurarlos.
3
El usuario predeterminado de MicroTik es “admin” y sin contraseña
12
Screened Subnet Dpto. Informática
Hecho esto vamos a comprobar que de momento todo funciona correctamente, para
ello vamos a acceder al router y vamos a introducir el siguiente comando.
Interface print
System shutdown
13
Screened Subnet Dpto. Informática
14
Screened Subnet Dpto. Informática
Ahora tenemos todas las maquinas preparadas, es momento de configurar las redes.
En primer lugar vamos a configurar el router Front-End, para ello lo iniciamos y
nuevamente comprobamos que están las dos interfaces de red con el siguiente
comando.
Interface print
Vemos como efectivamente tenemos las dos interfaces de red, pero a diferencia del
Back-End, el Front-End posee la única interfaz de red externa, por ello debe vamos a
empezar por darle una IP dentro del rango de mi red local mediante el siguiente
comando.
Ip address
De esta forma habremos configurado la interfaz externa (ether2) con una IP dentro del
rango. Para comprobar que se ha configurado correctamente primero salimos del
modo de configuración “ip address” mediante el siguiente comando.
..
Interface print
15
Screened Subnet Dpto. Informática
Realizamos el mismo proceso para asignar una IP a la otra interfaz. De tal forma que:
4
Cambio realizado posteriormente
16
Screened Subnet Dpto. Informática
17
Screened Subnet Dpto. Informática
Una vez hecho esto debemos pasar a la ventana WebFig, que nos permite configurar
los enrutamientos y las interfaces de forma gráfica.
Aquí podemos ver las interfaces que previamente se llamaban ether1 y ether2, pero al
ser estos nombres bastante equívocos las renombramos de la siguiente manera.
5
En mi caso lo dejaré sin contraseña para facilitar la exposición, en un entorno real es obligatorio
establecer un usuario diferente y una contraseña lo más segura posible.
18
Screened Subnet Dpto. Informática
19
Screened Subnet Dpto. Informática
Esto quiere decir que todo lo que salga de la IP 192.168.2.0 va a poder salir por la
interfaz que da acceso a internet. Pero esto no basta para que funcione la regla, hay
que añadir una acción.
Se resume en que todos los accesos desde la interfaz que da a internet por el puerto
80 se les permitirá y será redirigido a la maquina con IP 192.168.2.100, que es donde
se aloja nuestro servidor web.
Una vez hecho esto ya podemos acceder desde nuestro host al servicio web instalado
en el servidor.
20
Screened Subnet Dpto. Informática
Apt-get update
Vemos claramente cómo, con cada ping, aumenta el tiempo de los paquetes, esto se
debe al número de saltos que realiza.
21
Screened Subnet Dpto. Informática
ESTRUCTURA TERMINADA
Una vez efectuados los pasos anteriores, ya deberíamos tener nuestra estructura
acabada. Vamos a aclarar que tenemos hasta ahora:
Con esto concluye la estructura Screened Subnet, en este momento nuestra estructura
tiene un buen nivel de seguridad gracias a los firewalls de ambos routers y a la
dificultad que supone sortear la DMZ.
Si incluyésemos más servicios lo conveniente sería crear una serie de reglas en los
routers para controlar los accesos, pero en lugar de profundizar en ello, ahora que
hemos logrado construir una DMZ, vamos a intentar realizarla empleando el software
Firewall Builder que sustituirá a los routers.
22
Screened Subnet Dpto. Informática
FIREWALL BUILDER
En una nueva máquina llamada FW GUARDIAN nos disponemos a instalar el Firewall
Builder. Para ello, en modo superusuario, ejecutamos el siguiente comando.
fwbuilder
Se nos abrirá la ventana principal del programa, el paso lógico será crear un nuevo
firewall.
23
Screened Subnet Dpto. Informática
Vamos a traducir parte de la descripción para tener una mejor visión de que nos
ofrece:
24
Screened Subnet Dpto. Informática
Tras leer esto vemos que nos ofrece un perfil prácticamente configurado para su uso.
Presionamos en siguiente y en esta ventana vamos a cambiar la IPs a gusto personal.
Eth0 la dejamos en dinámica
25
Screened Subnet Dpto. Informática
Una vez hecho esto, aceptamos y se nos genera nuestro firewall Guardian.
26
Screened Subnet Dpto. Informática
27
Screened Subnet Dpto. Informática
Tras esto debemos configurar el acceso a nuestro firewall, tanto usuario como IP de
acceso.
28
Screened Subnet Dpto. Informática
DEAD END
Tristemente hemos llegado a un punto muerto en nuestra configuración del software
Firewall Builder.
Podemos crear a voluntad el esquema del firewall, sin embargo el esquema se niega a
aplicarse.
El proyecto Firewall Builder fue abandonado en 2012 y la última versión sobrevive
fuera de su página oficial pero ya no tiene versiones nuevas ni mantenimiento.
Desconozco si el problema se debe al programa en sí, a algún tipo de incompatibilidad
con el sistema operativo, algún problema de la red o incluso al aplicar la configuración
estando virtualizado en Hyper-V.
Las guías y manuales están terriblemente anticuados, los foros y las páginas de la
comunidad están llenas de fallos similares de otros usuarios.
La funcionalidad del Firewall Builder es la creación de un firewall en el cual se pueden
configurar diversas políticas y enrutamientos. Este firewall ya ha sido creado
previamente mediante la estructura anterior. Dado que solo nos daba una forma
grafica y más cómoda de gestionar las redes, no es una pérdida que no hayamos
solventado ya.
29
Screened Subnet Dpto. Informática
CONCLUSIONES
Firewall Builder ha demostrado ser una herramienta muy potente en el pasado, pero el
abandono del proyecto ha hecho que quede anticuada.
La alternativa de configurar routers MikroTik ha sido muy motivante, estos routers
poseen un enorme potencial además de ser un proyecto que se actualiza con mucha
regularidad.
La conclusión final es que, a pesar de los filtros, los firewalls y las subredes, no existe la
seguridad total cuando un dispositivo está conectado a la red, pero podemos aislarlo
tanto como podamos y ponérselo difícil a aquellos que deseen vulnerar nuestra
seguridad. La DMZ es quizás la mejor opción para este propósito.
30
Screened Subnet Dpto. Informática
BIBLIOGRAFIA
31