Introducción
En la siguiente guía se abordará el tema de seguridad perimetral con firewalls. Los firewalls también conocidos como cortafuegos pueden ser dispositivos físicos o software que cumple funciones de filtrado de paquetes en un computador (firewall personal) o en una red (firewall de red).
Existen firewalls stateless y statefull siendo su principal diferencia el manejo de tablas Dinámicas en memoria que logran asociar conexiones establecidas entre los nodos de una red. Generalmente los firewalls funcionan en la capa 3, 4 y 5 del modelo OSI, permitiendo filtrar direcciones IP, PROTOCOLOS Y PUERTOS, como también conexiones establecidas o por establecerse con cualquiera de estos servicios.
Una característica de los firewalls más comunes es que los mismos no soportan el análisis de datos, por lo tanto no será posible identificar el contenido de los paquetes que cruzan una red, para esto es necesario tener firewalls a nivel de aplicaciones (proxys), ejemplos de estos son los WAF (Web Firewall Application) que no son más que filtros a nivel de HTTP para evitar que los sistemas web sean atacados.
Untangle es un software appliance que gestiona todos los aspectos de control de la red de seguridad de contenido multi-funcional protección, filtrado fácil y asequible.
Untangle es una empresa privada que ofrece una pasarela de red es de código abierto para pequeña empresas, ofrece servicio proporcionados como Qos, NAT, DHCP, DNS, y aplicaciones como:
-filtro de SPAM
-Bloqueo de software malicioso (malware) filtrado web, firewall, proxy, web cache, phishing, IDS y mas.
Su distribución es basado en debían open source.
Si desea saber mas sobre este appliance visite su pagina oficial
y su documentación
Mostrare una sencilla configuración para realizar firewall con la siguiente topología
Instalación
El proceso de instalación es sencilla es mediante la interfaz gráfica es si no seguir los pasos se hará mas fácil.
Nota: La siguiente instalación se realizar en un maquina virtual en virtualbox Con tres tarjetas de RED. Esta sera en Untangle.
A continuación nos saldrá para que podamos escoger el idioma.y el país.
La distribución de teclado.
Comienza cargando los módulos
Nos dice que si queremos formatear el disco.
Creando las particiones e instalando la particiones.
Luego termina la instalación nos pide que quitemos el cd de instalación que a reiniciar comenzara por el disco duro.
Cargado su interfaz gráfica
Lo que nos sale a continuación es la interfaz para configurar la red.
A continuación configuramos la contraseña de administrador.
Definimos la interfaces como están conectada en el untangle.
Definimos la red de la interfaz WAN osea la que es obtenida por DHCP.
Definimos la interfaz LAN. mas adelante colocaremos la dirección de la DMZ.
En este caso yo poseo un servidor de correo.
Ahora iniciaremos sesión en la insterfazGUI. con la contraseña que le dimos el los pantallazos anteriores.
A continuación En conexión de Red configuraremos la interfaz DMZ.
En interfaces Le damos clic en editar para la DMZ.
Si desea saber mas sobre la otra opciones de configuración que son (Administración, Email, Directorio Local,etc) visita la documentación.
Ponemos la dirección correspondiente a la interfaz DMZ. En este caso colocaremos 192.168.1.1 Y ya vienes con políticas de NAT por defecto. (SNAT)
comprobaremos la salida a Internet.
Eje: Desde una maquina de la LAN configuramos la tarjeta de red obtendrá una ip estática ya que no tenemos servicio DHCP aunque el untangle viene para servicio de DHCP pero en este caso trabajaremos con ip estáticas.
Daremos prueba con nslookup para mirar que si nos resuelve a DNS que se encuentra en la DMZ y DNS publico de Internet.
Ingresamos a navegador a google.com
Ahora esto demuestra que el NAT funciona y traduce nuestra direcciones de nuestra interfaces privada a direcciones publicas. y nos da acceso a Internet.
Ahora haremos port forwards que hace (DNAT) para que los usuario Externos puedan ver los servicios de nuestra Redes INTERNAS.
En conexion de red-port forwards creamos la primera regla.
Esta regla es que la EXTERNA pueda ver las paginas WEB de nuestra red INTERNA esto servicio se encuentra en la interfaz DMZ.
Donde la 192.168.1.2 es mi servidor donde esta arrojados todos lo servicio que poseo que son (80,21,22,25,53 entre otros)
Los que esta habilitados son los servicio que yo quiero que vea la EXTERNA. (correo, web, ftp, ssh).
todo esto servicio son direccionada a el servidor que se encuentra en la DMZ.
Si desea sabes mas sobre port forwards visita este link.
Ahora crearemos las reglas del Firewall para que las conexiones sean mas seguras.
NOTA: Las aplicaciones a que instalar dándole clic en la aplicación que desea algunas son gratuita otra le da 15 días de prueba y también tienes que registrarse en la pagina oficial para poder descargar cualquier aplicaciones después.
Si desea ver la documentacion de firewall visita lo siguiente.
Mostraremos algunas reglas. El firewall se le puede crear reglas que ya viene relacionadas e establecidas (RELATED,ESTABLESHED)
Acá podemos ver las regla que cree por lo que se ve son mucha a si que mostrare alguna muy esenciales.
La política por defecto esta denegar así que tenemos que permitir.
En esta regla le esta diciendo que permita a la red LAN salir por la interfaz Externa a un puerto de destino 80.
Acá le estamos aplicando que la LAN a DMZ pueda ser consulta del DNS. (53)
Acá le estamos aplicando que deje salir a DMZ a Externa a un puerto de destino 53.
Acá le esta permitiendo el ingreso desde la Externa a la DMZ por SSH osea que si haces SSH a la dirección publica de tu red se envía a la dirección 192.168.1.2 que en este caso es el servidor de todos mis servicios.
Ahora realizare pruebas correspondientes.
-Vamos a ingresar a un pagina web que esta en la DMZ desde la WAN osea desde la red publica. Lo que se realizo en port forwards.
-En una maquina Centos la ponemos en adaptador puente y editamos el archivo /etc/hosts ahí colocamos la dirección publica y el nombre de la pagina a cual queremos acceder.
En el navegador entramos a la pagina mail.maida.com
Ahora vamos a ingresar a SSH desde WAN apuntando a la dirección ip publica.
Miramos a la regla de PORT FORWARDS.
Y La regla de firewall para la entrada a SSH.
Muy bueno...
ResponderEliminar