Firewall en Endian (Linux)

(DMZ, LAN y WAN)

Trabajo Realizado por: Yonatan Gallego Durango Tutor Mauricio Ortiz

Administracion de Redes Sena (Cesge)

2011

Se implementara un firewall en Endian simulando tres redes: LAN, WAN y DMZ tendr previamente instalados 3 servicios de red en la DMZ que sera una maquina linux (Centos) y 2 servicios en la LAN que sera una XP que al mismo modo administra el Endian (firewall). Conceptos

Endian: es una distribucion basada en Linux destinada para tareas de ruteo y firewall,
til y practica de administrar.

LAN: Red de Area Local WAN: Red de Area Mundial (internet) DMZ: Zona DesmilitariZada para esta practica debemos tener un minimo concepto sobre administracion de redes, e implementacion de servicios tanto en linux como en windows. El Virtual Box sera mi simulador de maquinas que al msmo tiempo seran LAN, WAN y DMZ. DMZ = Linux (CentOS) IP: 192.168.110.3/24 servicios Instalados (Dns, Ftp, Http) LAN = Windows (XP) IP: 192.168.100.3/24 servicios instalados (Ftp, Ssh) Administracion de Endian firewall IP: 192.168.100.1/24 WAN = Linux (Ubuntu) Maquina real IP: 192.168.10.29/24

Despues de tener funcionando los servicios en la LAN y la DMZ y corriendo el Endian Firewall lo administraremos desde la XP y crearemos las reglas adecuadas para denegar o permitir los diferentes puertos y protolos. Creamos la regla de NAT (Traduccion de Direciones) para los diferentes servicios con sus puertos y protocolos. Vamos a cortafuegos - Reenvio de puertos/NAT y adicionaremos una nueva regla

por medio de esto permitiremos el reenvio de puertos, en esta regla sera el servicio ftp por el puerto 21 y por el protocolo tcp que es con el que trabaja por defecto. Y asi mismo aadiremos las demas reglas en el reenvio de puertos para los otros servicios.

Ahora configuramos el trafico de salida generalmente se definen las Zonas o Interfaces por colores asi: LAN = Verde DMZ = Naranja WAN = Roja Creamos la primera regla permitiendo a la interface verde salir a internet osea a la roja por http con el puerto 80 y su debido protocolo. Clickeamos en actualizar regla para que sea aadida

asi mismo aadimos las demas para los diferentes servicios en el trafico de salida. He definido reglas para servicios como http, https, ftp, smtp, pop, imap, dns y el icmp que es el encargado del ping.

Despues de haber configurado el reenvio de puertos y el trafico de salida procedemos a configurar el trafico entre zonas.

En esta configuracin la regla por defecto sera denegar la cual ira en la ultima posicion y anteriores a esta estarn las reglas donde permitiremos los servicios y protocolos que deseemos. El firewall leer las reglas en orden si no coincide con lo anteriosaplica la ultima que es Denegar todo.

En esta regla permitimos desde la verde el trafico para la naranja por http con su respectivo puerto y protocolo.

Asi mismo agregamos las demas reglas permitiendo los demas servicios para que por ultimo sea la regla de denegar. Recordemos tener muy claros el origen y destino para las reglas.

Regla de denegar todo (ultima posicin) recordemos que si deseamos aadir una nueva regla como es para permitir lo haremos anter de esta regla.

Por ultimo aplicamos los cambios para reenvio de puertos, Trafico de salida y trafico enter zonas.

Por ultimo realizamos pruebas teniendo en cuenta que a la zona verde = LAN no debe acceder ninguna otra zona solo ella misma, a la DMZ = zona naranja pueden acceder a los servicios tanto desde la LAN como la WAN.

Con esta imagen probamos por medio de un tracer y direccion o nombre de destino que la maquina efectivamente esta saliendo por medio del firewall que es la 192.168.100.1, pasa por mi dns que es la 192.168.10.1, se encuentra con otros enrutadores y finalmente llega a la direcion de google que es la 74.125.229.115

probamos el acceso y la conexin desde la LAN al servicio ftp que ofrece la DMZ la cual tiene la direccion 192.168.110.3

probamos un ping desde la DMZ hacia la WAN y dio respuesta

Probamos un ping desde la DMZ hacia la LAN y no se obtuvo respuesta debido a que a la LAN no puede acceder ninguna otra Zona.

Intentamos logiarnos desde la DMZ en el ftp de la LAN y no lo logramos

desde la misma LAN nos logiamos en el ftp