Sei sulla pagina 1di 30

Seguridad de la red Diseño del plan de seguridad de la información Fase 2 Firewall común Linux Endian v2.4

GRUPO “MiNdWiDeJUAN ALEJANDRO BEDOYA JOSE DE ARLEX DOMINGUEZ NEIFER ERNEY GIRALDO JHON FREDY HERRERA YOJAN LEANDRO USME

ADMINISTRACION DE REDES INFORMATICAS

Mauricio Ortiz

CENTRO DE SERVICIO Y GESTION EMPRESARIAL SENA (MEDELLIN)

2010

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

INDICE

Introducción

3

Objetivo

3

Topología de red

4

Tabla de direccionamiento

5

Configuración del Firewall

6

Requisitos de Endian

6

Creando nuestra VM

7

Instalación de Endian

11

Configuración inicial de Endian Firewall

15

Pestaña System

20

Network configuration

20

Event notifications

20

Passwords

20

SSH access

20

GUI settings

20

Backup

20

Shutdown

20

Pestaña Status

20

Pestaña Servicios

21

Pestaña Firewall

21

Pestaña Proxy

21

Pestaña VPN

21

Reglas de Sistema

22

Publicar los servicios de HTTP y FTP en internet

25

Conclusiones

29

Bibliografía

29

MiNdWiDe - Group

2

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Introducción

Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, las características de cifrado y descifrado se permiten en un firewall agregando funcionalidades al mismo convirtiéndose así en una solución más robusta y efectiva. Esta serie de atributos o comportamientos se aplican al tráfico tanto entrante como saliente entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Estas características permiten a las organizaciones protección contra todo tipo de amenazas provenientes de internet y a su vez permite realizar sus tareas comunes con cierto grado de tranquilidad.

Objetivo

Realizar la instalación y configuración de un firewall en la plataforma Linux, para la topología planteada a continuación. Para llevar a cabo dicha tarea nos apoyaremos en los aplicativos VMWare Workstation y el software para implementar el firewall Endian v2.4, esto con el fin de obtener los conocimientos necesarios para llevar a cabo con éxito dicha tarea e igualmente tener conceptos sólidos a la hora de implementar una solución como estas.

MiNdWiDe - Group

3

Topología de red

Topología de red

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Tabla de direccionamiento

Dispositivo

Interfaz

Direccion IP

Mascara de

Gateway

subred

predeterminada

ISP

Fa1/0

192.168.1.254

255.255.255.0

NO APLICABLE

 

VMNet2

172.16.1.254

255.255.255.0

NO APLICABLE

VMNet3

172.16.2.254

255.255.255.0

NO APLICABLE

Endian-FW

Bridge

192.168.1.253

255.255.255.0

192.168.1.254

SVR-HTTP-FTP-01

NIC

172.16.2.253

255.255.255.0

172.16.2.254

MiNdWiDe - Group

5

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Configuración del Firewall

Requisitos de Endian

Necesitará los requerimientos mínimos de la tabla siguiente para utilizar Endian.

 

Requisitos Endian V2.4

CPU:

Intel x86 compatible (500MHz minimum, 1GHz recommended), including VIA, AMD Athlon, Athlon 64, Opteron, Intel Core 2 Duo, Xeon, Pentium and Celeron processors

Multi-Processor:

Symmetric multi-Processor (SMP) support included

RAM:

256MB minimum (512MB recommended)

Disk:

SCSI, SATA, SAS or IDE disk is required (4GB minimum)

Software RAID:

For software RAID1 (mirroring) two disks of the same type (the capacity needn't be the same) are required

CDROM:

An IDE, SCSI or USB CDROM drive is required for installation (not required after installation)

Network Cards:

Most common Network Interface Cards are supported including Gigabit and fiber NICs

Monitor/Keyboard:

Only required for the installation but not for configuration and use

Operating System:

Endian Firewall includes a Hardened Linux Based Operating System

MiNdWiDe - Group

6

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Creando nuestra VM

Muy bien teniendo presente estos requisitos de hardware y de software procederemos a crear nuestra VM en VMWare Workstation, a continuación presentaremos los Screenshot correspondientes a la realización de dicha tarea.

Teniendo el aplicativo VMWare Workstation abierto nos vamos por File > New > Virtual Machine

o

con la combinación de teclas CTRL + N, esto nos permitirá iniciar el asistente de creación de VM

y

nos saldrá la siguiente ventana, siguiendo así el asistente.

de creación de VM y nos saldrá la siguiente ventana, siguiendo así el asistente. MiNdWiDe -
de creación de VM y nos saldrá la siguiente ventana, siguiendo así el asistente. MiNdWiDe -
de creación de VM y nos saldrá la siguiente ventana, siguiendo así el asistente. MiNdWiDe -
de creación de VM y nos saldrá la siguiente ventana, siguiendo así el asistente. MiNdWiDe -

MiNdWiDe - Group

7

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

MiNdWiDe - Group

8

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

MiNdWiDe - Group

9

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

del plan de seguridad de la información GROUP | “???” Nota : nuestra VM final quedaría
del plan de seguridad de la información GROUP | “???” Nota : nuestra VM final quedaría
del plan de seguridad de la información GROUP | “???” Nota : nuestra VM final quedaría

Nota: nuestra VM final quedaría así es importante el orden de las tarjetas de red para que nuestro Firewall funcione correctamente, primero VMnet2, VMnet3, y por ultimo Bridged.

MiNdWiDe - Group

10

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Instalación de Endian

En este punto suponemos que ya hemos descargado la ISO, el cual contiene todos los componentes que proporcionan la solución integrada de Endian, si no es así podemos descargarla de la URL: http://www.endian.com en ella igualmente se encontrara documentación para su implementación.

se encontrara documentación para su implementación . Paquete de software para la instalación e implementación

Paquete de software para la instalación e implementación de Endian Firewall, esta ISO pesa aproximadamente 150 MB.

Endian – Firewall, esta ISO pesa aproximadamente 150 MB. Realizamos el mapeo de la ISO que

Realizamos el mapeo de la ISO que previamente descargamos.

esta ISO pesa aproximadamente 150 MB. Realizamos el mapeo de la ISO que previamente descargamos. MiNdWiDe

MiNdWiDe - Group

11

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

del plan de seguridad de la información GROUP | “???” Este es el primer pantallazo que

Este es el primer pantallazo que nos ofrecerá el asistente de instalación de Endian, a continuación nos ofrecerá seleccionar el idioma, características de partición para el disco duro.

MiNdWiDe - Group

12

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

del plan de seguridad de la información GROUP | “???” Este apartado nos permite configurar el

Este apartado nos permite configurar el Stack TCP/IP para la interface GREEN (Interface de confianza).

MiNdWiDe - Group

13

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

del plan de seguridad de la información GROUP | “???” Este pantallazo nos indica que la

Este pantallazo nos indica que la instalación del EFW a finalizado con éxito y además nos indica que para acceder a la interface de administración via web debemos digitar en nuestro navegador favorito la url: http://efw-community or https://efw-community:10443, hay que tener presente que para que se resuelvan estos nombres de dns debemos tener configurado en el equipo que realizaremos la administración los servidores DNS que apunten hacia la ip del Endian en nuestro caso es lo siguiente:

hacia la ip del Endian en nuestro caso es lo siguiente: Esto porque se puede, pues

Esto porque se puede, pues por que el Endian ya viene con algunos servicios implementados como son servidor DNS, servidor HTTP. Pero lo haremos con https://172.16.1.254:10443 debido a que como el Endian viene con reglas ya preestablecidas no nos permite resolver de momento el nombre y además no hemos configurado el hostname al servidor.

MiNdWiDe - Group

14

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Configuración inicial de Endian Firewall

GROUP | “???” Configuración inicial de Endian Firewall Accediendo con la dirección IP nos ofrecerá el

Accediendo con la dirección IP nos ofrecerá el asistente para la configuración inicial de nuestro firewall como son las zonas Interna, DMZ, Externa.

nuestro firewall como son las zonas Interna, DMZ, Externa. Seleccionamos el idioma y región y aceptamos

Seleccionamos el idioma y región y aceptamos los términos y condiciones.

MiNdWiDe - Group

15

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

del plan de seguridad de la información GROUP | “???” Nos ofrece la posibilidad de configurar

Nos ofrece la posibilidad de configurar las credenciales tanto para la interface web de administración y para las conexiones remotas con SSH.

de administración y para las conexiones remotas con SSH . Posteriormente nos inicia el asistente para

Posteriormente nos inicia el asistente para configurar nuestro entorno de red, en la cual definimos que tipo de configuración de interface externa tendremos, en nuestro caso seleccionaremos ETHERNET STATIC.

MiNdWiDe - Group

16

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

del plan de seguridad de la información GROUP | “???” Como tendremos una DMZ seleccionaremos la

Como tendremos una DMZ seleccionaremos la interface ORANGE (VMnet3) en nuestra situación.

la interface ORANGE (VMnet3) en nuestra situación. Luego nos permite configurar las direcciones IPs que

Luego nos permite configurar las direcciones IPs que tendrán las zonas Interna y DMZ, el hostname y el dominio.

MiNdWiDe - Group

17

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

del plan de seguridad de la información GROUP | “???” En este apartado nos pide que

En este apartado nos pide que ingresemos la configuración a nivel de ip de la interface Externa (Bridged).

a nivel de ip de la interface Externa (Bridged). Configuramos nuestros servidores de DNS externos. MiNdWiDe

Configuramos nuestros servidores de DNS externos.

MiNdWiDe - Group

18

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

del plan de seguridad de la información GROUP | “???” Y opcionalmente nos ofrece configurar datos

Y opcionalmente nos ofrece configurar datos del administrador como dirección de correo electrónico y aplicamos la configuración.

Entonces el usuario es admin para el acceso a la interface web y para ingresar a la CLI es root.

a la interface web y para ingresar a la CLI es root . Nuestra página principal

Nuestra página principal del administrador de Endian.

MiNdWiDe - Group

19

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Pestaña System

Network configuration Nos permite el rediseño de nuestro entorno de red.

Event notifications Ofrece la posibilidad de configurar los eventos de notificación, método, etc.

Passwords Disponible para si en algún momento deseamos cambiar las credenciales de autenticación.

SSH access Opcionalmente podemos habilitar el servicio de SSH para la administración remota por medio de la CLI.

GUI settings Menú disponible el cual nos permite cambiar el idioma de la GUI de administración web.

Backup Sección en la pestaña System la cual nos permite realizar copias de seguridad a la configuración en ejecución e igualmente regresar a un estado previo.

Shutdown Ofrece dos botones apartir de los cuales podemos reiniciar o apagar el servidor Endian.

Pestaña Status

Disponible para ver el estado, estadísticas de muchos de los componentes que integran el servidor Endian como puede ser, uso del disco, memoria, Proxy, Red, estado de los servicios de red disponibles desde el servidor Endia, etc.

MiNdWiDe - Group

20

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Pestaña Servicios

Esta parte de nuestro servidor Endian nos ofrece la posibilidad de configurara servicios de red como DHCP, DNS Dinámico, Servidor NTP, QoS, y así permitiéndonos una mejor y cómoda administración de nuestras zonas.

Pestaña Firewall

Esta es la sección donde aplicaremos o mejor plasmaremos las políticas de la organización y así permitir o denegar ciertos servicios, igualmente la tecnología de NAT, FOWARD.

Pestaña Proxy

Nos obsequia la posibilidad de configurar servidores proxy para diferentes servicos como, HTTP, FTP, DNS, entre otros.

Pestaña VPN

Servicio disponible el cual nos permite habilitar el acceso remoto a clientes desde internet hacia nuestra red local soportada en conexiones seguras.

Bueno entonces la mayor parte del tiempo lo estaremos en la pestaña firewall.

MiNdWiDe - Group

21

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Reglas de Sistema

En este apartado comprobaremos conectividad a nivel de capa 3 hablando del modelo OSI.

Del host de la red interna cuya ip es 172.16.1.1/24 hacia cualquier parte.

red interna cuya ip es 172.16.1.1/24 hacia cualquier parte. Observamos que podemos hacer una petición de

Observamos que podemos hacer una petición de echo ICMP a cualquier red, esto es porque por defecto el endian viene con reglas predefinidas (reglas del sistema), el NAT nos permite llegar.

(reglas del sistema), el NAT nos permite llegar. Esta regla nos permite traducir cualquier dirección ip

Esta regla nos permite traducir cualquier dirección ip de origen (SNAT).

MiNdWiDe - Group

22

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

del plan de seguridad de la información GROUP | “???” Estas reglas por defecto en Ougoing

Estas reglas por defecto en Ougoing traffic permite los servicios comunes, como son HTTP, HTTPS, DNS, ICMP. Estas reglas se aplican como podemos observar solo al origen que provenga de GREEN (Interna), BLUE (Wireless).

Finalmente la regla de sistema permite desde cualquier parte hacia RED (Internet) la solicitud de echo ICMP.

regla de sistema permite desde cualquier parte hacia RED (Internet) la solicitud de echo ICMP. MiNdWiDe

MiNdWiDe - Group

23

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Las reglas por defecto en Inter-Zone Traffic permiten cualquier tráfico desde la zona GREEN (Interna) hacia ORANGE (DMZ) y BLUE (Wireless), pero no desde la DMZ hacia la zona Interna.

BLUE (Wireless), pero no desde la DMZ hacia la zona Interna. Las reglas de sistema para

Las reglas de sistema para System access define que cualquier origen que entre a la interface GREEN, ORANGE, BLUE o sea tráfico que valla para el Endian se permiten siempre y cuando vallan para los siguientes servicios:

DNS.siempre y cuando vallan para los siguientes servicios: ICMP. NTP. HTTP. Importante tener presente que no

ICMP.siempre y cuando vallan para los siguientes servicios: DNS. NTP. HTTP. Importante tener presente que no

NTP.y cuando vallan para los siguientes servicios: DNS. ICMP. HTTP. Importante tener presente que no se

HTTP.cuando vallan para los siguientes servicios: DNS. ICMP. NTP. Importante tener presente que no se permite

Importante tener presente que no se permite nada que se origine de Internet o sea que entre a la interface RED a ecepcion de conexiones establecidas desde el interior.

Entonces teniendo claro las reglas por defecto y de sistema procederemos a crear y configurar nuestras reglas.

MiNdWiDe - Group

24

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Publicar los servicios de HTTP y FTP en internet

Para la realización de la publicación de estos servicios solo basta con realizar un DNAT para esos servicios, entonces nos vamos para la pestaña FIREWALL > submenú Port forwarding / NAT y a subes a Port forwarding / Destination NAT.

/ NAT y a subes a Port forwarding / Destination NAT . En esta captura observamos

En esta captura observamos la realización del DNAT, le indicamos que si un paquete llega específicamente para la ip 192.168.1.253 por la capa de transporte y su protocolo TCP con el puerto de destino 80 cambie la ip de destino a 172.16.2.253 e igualmente el puerto 80.

Aplicamos la configuración y con eso esta nuestro servicio publicado.

la configuración y con eso esta nuestro servicio publicado. Para la publicación del servicio de FTP

Para la publicación del servicio de FTP igualmente es el mismo proceso.

MiNdWiDe - Group

25

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

del plan de seguridad de la información GROUP | “???” Opcional habilitamos el log para esa

Opcional habilitamos el log para esa DNAT y un etiquetado el cual nos indique que realiza esa DNAT o mejor el objetivo del DNAT.

esa DNAT y un etiquetado el cual nos indique que realiza esa DNAT o mejor el

MiNdWiDe - Group

26

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

MiNdWiDe - Group

27

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

En las dos últimas imágenes observamos que podemos acceder desde internet a los servicios publicados en la DMZ.

acceder desde internet a los servicios publicados en la DMZ. Observamos las conexiones actuales y su

Observamos las conexiones actuales y su estado.

en la DMZ. Observamos las conexiones actuales y su estado. Finalmente permitimos actualizar. conexiones a HTTP

Finalmente permitimos actualizar.

conexiones

a HTTP

para permitir

que los

equipos Linux

se

puedan

 

MiNdWiDe - Group

 

28

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Conclusiones

Es una solución community lo cual nos permite su adquisición sin consto alguno.

Su implementación es muy común en empresas medianas y se adapta muy bien a estos entornos.

Se dispone de una comunidad, esto permite u ofrece una amplia fuente de información para su implementación y solución de inquietudes.

La versión community no tiene las prestaciones que nos puede ofrecer la versión Enterprice.

Bibliografía

MiNdWiDe - Group

29

Mind Wide Open™

BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

Gracias…

Integrantes

Juan Alejandro Bedoya

Jose De Arlex Dominguez

Neifer Erney Giraldo

Jhon Fredy Herrera

Yojan Leandro Usme

MiNdWiDe - Group

30