• Author / Uploaded
• Maicol Muñoz

Citation preview

TALLER DE FIREWALLS. CONFIGURANDO FIREWALL EN APPLIANCES PFSENSE. POR: Maicol Muñoz.

INSTRUCTOR: Andres Mauricio Ortiz.

Tecnólogo en administración de redes informáticas. Gestión de la seguridad de la red. 35442.

Servicio nacional de aprendizaje (SENA) - Antioquia Centro de Servicios y Gestión Empresarial. (CESGE)

INTRODUCCION. La seguridad es la principal defensa que puede tener una organización si desea conectarse a Internet, dado que expone su información privada y arquitectura de red a los intrusos de Internet . El Firewall ofrece esta seguridad, mediante:Políticas de seguridad, determinando que servicios de la red pueden ser accesados y quienes pueden utilizar estos recursos, manteniendo al margen a los usuarios no-autorizados.

MARCO TEORICO. Que es un Firewall. Un Firewall se encarga de filtrar el trafico entre distintas redes, como mínimo dos. Puede ser un dispositivo físico o un software que corre sobre un sistema operativo. En general, se puede ver como un sistema con dos o mas interfaces de red para las cuales se fijan reglas de filtrado que determinan si una conexión puede establecerse o no. Incluso puede realizar modificaciones sobre las comunicaciones como lo hace NAT. Dependiendo de las necesidades de cada red, puede ponerse uno o mas Firewall para establecer distintos perímetros de seguridad en torno a un sistema. Es frecuente también que se necesite exponer algún servidor a internet (como es el caso de un servidor web, un servidor de correo, etc.), y en esos casos, en principio, se debe aceptar cualquier conexión a ellos. Lo que se recomienda en esa situación es situar ese servidor en un lugar aparte de la red interna, el que denominamos DMZ o zona desmilitarizada. En la zona desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta arquitectura, permitimos que el servidor sea accesible desde internet de tal forma que si es atacado y se gana acceso la red local sigue protegida por el Firewall. En conclusión, cualquier Firewall generalmente no tiene mas que un conjunto de reglas que permiten examinar el origen y destino de los paquetes que viajan a través de la red. Hay dos maneras de implementarlo: 1. Política por defecto ACEPTAR: todo lo que entra y sale por el Firewall se acepta y solo se denegara lo que se diga explícitamente.

2. Política por defecto DENEGAR: todo esta denegado, y solo se permitirá pasar por el Firewall aquello que se permita explícitamente. Es importante el orden en que se establecen las reglas, ya que ellas se leen en forma secuencial. Cuando se encuentra una regla para un paquete, no se mira el resto de las reglas para ese paquete, por lo que si se ponen reglas permisivas entre las primeras del Firewall, puede que las siguientes no se apliquen por lo que no servirá de nada.

Requerimientos: *Appliances Pfsense. *Red LAN.(maquinas windows xp) *Red DMZ.(maquina Centos linux) *Red WAN.

DESARROLLANDO . En mi red DMZ implementare una maquina virtual con sistema operativo CentOs actuando como servidor WEB,FTP y DNS además este servidor sera accesible mediante SSH. En mi red LAN tendré una maquina con Windows XP desde la cual haré pruebas de accesos y administrare la interfaz gráfica de Pfsense,a esta maquina podre acceder mediante Rdesktop. Nuestro Pfsense tendrá tres tarjetas de red la primera en red interna llamada LAN, la segunda en adaptador puente que se conectara con la WAN y desde la cual haré pruebas de ingreso con mi maquina real y la tercera en red interna llamada DMZ. Esto va a ser lo primero a configurar, además debemos tener presentes las direcciones MAC de las diferentes tarjetas de red para saber identificarlas en el momento de configurarlas en el Pfsense.

En mi caso tengo una maquina dentro de la LAN con Windows XP, esta esta conectada a la interfaz LAN del Pfsense y tiene la IP 192.168.1.100 y el gateway 192.168.1.1 (la cual es la IP de la LAN del Pfsense). La usuario por defecto es admin y la clave por defecto es Pfsense.

Ya en nuestro administrador grafito de Pfsense lo primero a realiuzar sera configurar nuestras interfaces de red.

Ahora la WAN viene configurada para recibir dirección mediante DHCP

La interfaz LAN ya tiene una dirección IP definida por defecto, si quisiéramos cambiarla por una a nuestro gusto este es el área para hacerlo, en mi caso solo a manera de practica la dejaremos como esta.

Ahora la interfaz OPT1 sera la que vamos a habilitar para nuestra DMZ, basta con asignarle una dirección y habilitarla, en mi caso la IP sera la 192.168.100.1 .

Ya configuradas nuestras interfaces pasaremos a la configuración de nuestro NAT. Deberemos especificar dos reglas de NAT , una para la DMZ y otra para la red LAN. Primero definimos la interfaz externa (WAN), definimos la subred a la cual se le hará el NAT (DMZ y LAN), y todas las demás opciones las dejamos por defecto.

Ya que tenemos nuestro NAT lo que haremos sera publicar nuestros servicios internos hacia internet (DNAT).

Lo que hicimos en la anterior imagen fue crear reglas de DNAT para publicar mis servicios internos y redirigirlos hacia la DMZ y el escritorio remoto hacia el equipo de la LAN. Ya solo bastara con la creación de nuestras reglas de firewall. Nota: Pfsense trabaja en forma Statefull. Yo mostrare un solo ejemplo de como cree las reglas ya con esta se guiran para las demás reglas.

De todos modos con la tabla de todas las reglas es mas que suficiente para la creación de las reglas.

Las reglas que he creado en la interfaces LAN fueron salida a internet por http y https seguro, la red LAN saldrá por el DNS de la DMZ hacia internet, saldrá hacia cualquier FTP ya sea de internet o ya sea interno (DMZ), saldrá también hacia cualquier SSH,salida hacia cualquier servidor de correo,y también permitimos que en esta interfaces se le pueden hacer ping. Ya por ultimo deberemos especificar la regla de denegación para que deniegue todo y solo permita lo que establecimos.

Las reglas de la WAN se crean automáticamente por causa del DNAT solo deberemos agregar dos reglas una que permita el ping y otra de denegación de todos los servicios.

Las reglas creadas en la interfaces DMZ son para salida hacia http-https seguro y hacia el DNS de internet. Y la regla de ping y la regla de denegación de servicios.

Glosario: DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la lan y la wan. LAN: Una red de área local. WAN: Las Redes de área amplia. Router: Enrutador, encaminador. Dispositivo hardware o software para interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la información de la capa de red. SDM: SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a través del navegador. Esta herramienta soporta un amplio numero de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayoria de los routers nuevos de Cisco. SSH: SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo. JAVA: Java es un lenguaje de programación. Existe un gran número de aplicaciones y sitios Web que no funcionan a menos que Java esté instalado, y muchas más que se crean a diario. Java

es rápido, seguro y fiable. De portátiles a centros de datos, de consolas de juegos a superequipos científicos, de teléfonos móviles a Internet, Java está en todas partes. NAT: En las redes de computadoras , NAT es el proceso de modificación de la dirección IP de información en los encabezados de paquetes IP , mientras que en tránsito a través de un tráfico de dispositivos de enrutamiento El tipo más simple de NAT proporciona una traducción a una de las direcciones IP. DNS: es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia información variada con nombres de dominios asignado a cada uno de los participantes. Su función más importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente. TCP: s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicación, posibilita la administración de datos que vienen del nivel más bajo del modelo, o van hacia él, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipación que el protocolo es TCP). TCP es un protocolo orientado a conexión, es decir, que permite que dos máquinas que están comunicadas controlen el estado de la transmisión. UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en inglés User Datagram Protocol) un protocolo sin conexión que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperación de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a través una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisión de la información, por ejemplo, RealAudio utiliza el UDP.

El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en inglés Trivial File Transfer Protocol), y puesto que es trivial, perder algo de información en la transferencia no es crucial Stateless: Crear reglas de ida y de respuesta. Statefull: Crear reglas de ida y las reglas de respuestas son automaticas no hay que crearlas. Mascara wildcard: Una máscara wildcard es sencillamente una agrupación de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una máscara wildcard le recordará problablemente a una máscara de subred. Salvo esa apariencia, no existe otra relación entre ambas. Por ejemplo, una máscara wildcard puede tener este aspecto:192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255