Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
GATEWAY
3 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Puerta de enlace NethServer
4 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
NethServer
CortaFuegos
5 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Introducción al sistema de
cortafuegos
Un cortafuegos es un sistema que permite definir una
serie de políticas de control de acceso entre
distintos segmentos de una red. Para ello utiliza un
conjunto de reglas que filtran el tráfico dependiendo
de distintos parámetros como el protocolo, la
dirección origen o dirección destino, los puertos de
origen o de destino o la conexión a la que
pertenecen los paquetes.
NethServer utiliza para su módulo de cortafuegos el
software llamado Shorewall , que proporciona
funcionalidades de filtrado, marcado de tráfico y
redirección de conexiones.
6 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
7 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de un cortafuegos con
NethServer
El modelo de seguridad de NethServer se basa en
intentar proporcionar la máxima seguridad posible en
su configuración predeterminada, intentando a la vez
minimizar los esfuerzos a realizar tras añadir un nuevo
servicio.
8 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Política
Cada interfaz se identifica con un color que indica su función dentro del
sistema. Véase red-sección.
9 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Política
Las políticas de firewall permiten el tráfico entre zonas según este esquema:
Puede crear reglas entre zonas para cambiar las políticas predeterminadas
de la página Reglas de firewall.
10 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Reglas
●
Las Reglas se aplican a todo el tráfico que pasa a
través del cortafuego. Cuando un paquete de red
se desplaza de una zona a otra, el sistema busca
entre las reglas configuradas. Si el paquete
coincide con una regla, se aplica la regla.
Nota:El orden de la regla es muy importante. El
sistema siempre aplica la primera regla que coincide.
11 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Reglas
12 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
REJECT vs DROP
Como regla general, debe utilizar: REJECT cuando
desea informar al host de origen de que el puerto al que
está intentando acceder está cerrado. Por lo general, las
reglas en el lado de LAN pueden usar REJECT.
Para conexiones desde Internet, se recomienda
utilizar: DROP, con el fin de minimizar la divulgación de
información a cualquier atacante.
Registro: Cuando una regla coincide con el tráfico en
curso, es posible registrar el evento en un archivo de
registro marcando la opción de la interfaz web. El
registro de firewall se guarda en /var/log/firewall.log.
13 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Ejemplos prácticos
Permitir que la red de invitados tenga acceso a todos los servicios que
escuchan en Servidor1
●
Acción: ACCEPT
●
Fuente: verde
●
Destino: Servidor1
●
Servicio: -
14 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Encaminamiento y QoS
NethServer
15 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Introducción al encaminamiento o
routing
El encaminamiento (también llamado
enrutamiento o routing) es la función de
enviar un paquete de datos de un
punto de la red a otro. Por ejemplo,
cuando se envía un correo electrónico, el
servidor debe enviar los paquetes de datos
que contienen el mensaje.
NethServer usa el subsistema del kernel de
Linux para el encaminamiento configurado
la herramiente iproute2
16 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración del encaminamiento
17 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración del Reenvio de puertos
●
Utilice este panel para cambiar las reglas del
cortafuegos, es decir, para abrir un puerto
específico (O un rango de puertos) en el
servidor y reenviar el tráfico a partir de una
puerto a otro. Reglas de reenvío de puerto
permiten el acceso a los hosts de la red local
desde Internet.
●
Crear / Modificar
●
Puerto de origen: Inserte el puerto abierto
en la IP pública.
●
Puerto de destino: Introduzca el puerto en
el host interno que será el destino de tráfico.
●
Host de destino: Seleccione la máquina
interna donde será redirigido tráfico.
●
Permitir sólo: Permitir el tráfico hacia
delante sólo de algunas redes o hosts.
Inserte una lista separada por comas de
direcciones IP o redes en formato CIDR.
●
Descripción: Descripción opcional de la
regla de reenvío de puerto.
18 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración del QoS
●
Las interfaces de red
deben tener la
asignación de trafico
de acuerdo al ancho de
banda.
19 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración del Multi WAN
●
Si usted tiene más de una
conexión a Internet, debe
configurar la conexión individual
WAN (ISP) y establecer políticas
de uso (por ejemplo preferir una
conexión a través de otro).
●
Configurar
●
Seleccione la política de
gestión del proveedor:
●
Balanceado: utiliza todas las
conexiones a la vez
●
Respaldo: usar conexiones
de respaldo en caso de
problemas con el proveedor
de la más alta prioridad
20 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración base de priorización
de trafico.
●
Por defecto existen dos
perfiles una: high y low.
●
Puedes adicionar otro
respecto a la
configuración de tus
interfaces de red,
previamente configurada.
21 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de regla con prioridad.
●
En la Acción escogemos
entre Prioridad High o low
(Alta o baja)
●
Sobre la prioridad
colocaremos: Origen,
destino y el servicio que
se vea a priorizar.
22 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Proxy web
NethServer
23 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Instalación de proxy web
●
Seleccionar e en centro de
software:
●
Proxy web: Squid caché
web proxy
configuración.
nethserver-lightsquid,
nethserver-squid
●
Filtro web: Contenido
web Squid y filtro de
virus. nethserver-
lightsquid, nethserver-
squid, nethserver-
squidclamav,
nethserver-squidguard.
24 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Instalación de proxy web
●
Seleccionar e Instalar
centro de software:
●
Proxy web: Squid caché
web proxy
configuración.
nethserver-lightsquid,
nethserver-squid
●
Filtro web: Contenido
web Squid y filtro de
virus. nethserver-
lightsquid, nethserver-
squid, nethserver-
squidclamav,
nethserver-squidguard.
25 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de Proxy Web
●
El proxy web trabaja para reducir el uso de ancho de banda mediante el
almacenamiento en caché las páginas que visitan. También puede hacer cumplir el
filtrado de contenido.
●
Proxy Web sólo se puede activar en zona verde (redes locales) y zonas azules (redes
invitados).
●
Manual: Squid escuchará en el puerto 3128. Todo cliente debe ser configurado
explícitamente para utilizar el proxy.
●
Autenticado: Cada usuario se verá obligado a introducir nombre de usuario y
contraseña. Squid escuchará en el puerto 3128. Todo cliente debe ser configurado
explícitamente para utilizar el proxy.
●
Transparente: Todo el tráfico HTTP se redirige a través del proxy. No se necesita
ninguna configuración del cliente.
●
Transparente con SSL: Todo tráfico HTTP y HTTPS se redirigir a través del proxy.
●
El certificado de servidor (CA) debe estar instalado en cada cliente para permitir
el tráfico HTTPS.
●
Bloquear los puertos HTTP y HTTPS: Si está activado, los clientes no podrán utilizar
el servidor proxy. Puertos 80 y 443 será accesible sólo mediante el proxy.
26 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de proxy web
transparente
●
Se habilitara el Proxy.
Puerta de enlace →
Proxy web.
●
Se escogera
“Transparente con
SSL”
●
NO se seleccionara
“Bloquear los
puertos HTTP y
HTTPS”
27 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de proxy web
transparente
●
Lengueta de Cache
●
Por defecto tiene
100Mb. Maximo
5Gb, si se necesita
mas hay que
realizar otras
configuraciones.
28 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de proxy web Filtrado
de contenidos Web.
●
Puerta de Enlace→
Filtrado de contenidos
Web→ General.
●
Se debe habilitar el
filtro y agregar
dominios.
●
El tema de bloqueo
de extensiones, se
sugiere ver con
cautela.
29 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de proxy web Filtrado
de contenidos Web.
●
Puerta de Enlace→
Filtrado de contenidos
Web→ Lista negra.
●
Shalla List es el
recomendable.
●
Al momento de
guardar descargara
la lista y se podra
utilizar en los Filtros.
30 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de proxy web Filtrado
de contenidos Web.
●
Puerta de Enlace→
Filtrado de contenidos
Web→ Categorias
Personalizadas.
●
Cuando se tienen
perfiles especificos
y se necesita una
lisata fija de sitios.
31 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de proxy web Filtrado
de contenidos Web.
●
Puerta de Enlace→
Filtrado de contenidos
Web→ Horarios.
●
Para definir dias,
horarios, para
configurar Perfiles.
32 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de proxy web Filtrado
de contenidos Web.
●
Puerta de Enlace→
Filtrado de contenidos
Web→ Filtros.
●
Editar el Filtro
“default”
Seleccionar:
“Bloquear todo,
permitir el
contenido
seleccionado” y
“Aceptar” al final.
33 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de proxy web Filtrado
de contenidos Web.
●
Puerta de Enlace→
Filtrado de contenidos
Web→ Filtros.
●
Crear el Filtro
“contabilidad”
Seleccionar:
“Sitios_contabilidad
”
●
Y aceptar.
34 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Configuración de proxy web Filtrado
de contenidos Web.
●
Puerta de Enlace→
Filtrado de contenidos
Web→ Perfiles.
●
Crear perfil
“p_contabilidad”
●
De la zona Green.
●
Con el filtro
fil_contabilidad.
●
Y aceptar.
35 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
Prueba de proxy web Filtrado de
contenidos Web.
●
Para las paginas que esten bajo https, saldrá un
mensaje que “Conexion segura fallida” para las http
saldra un mensaje mas claro respecto al bloqueo.
36 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
¿Preguntas?
OpenIT
Jared López Leaño
Capacitador
jared.lopez@openit.com.bo
www.openit.com.bo
37 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)