escenarios firewall
TRANSCRIPT
![Page 1: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/1.jpg)
IMPLEMENTACION DE FIREWALLS EN DIFERENTES ESCENARIOS.
Cristina Piedrahita Cárdenas.
Cindy Yurley Muñoz Castaño.
Jonathan Andrés Loaiza García.
Roger Esteban Olarte Sabala.
ADMINISTRACION DE REDES DE COMPUTADORES
MEDELLIN
2009
![Page 2: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/2.jpg)
LICENCIA
Reconocimiento (Attribution): Debe reconocer los créditos de la obra
de la manera especificada por el autor o el licenciador (pero no de una
Manera que sugiera que tiene su apoyo o apoyan el uso que hace de su
Obra).
No Comercial (Non commercial): No puede utilizar esta obra para fines
comerciales.
Compartir Igual (Share alike): Si altera o transforma esta obra, o
genera una obra derivada, sólo puede distribuir la obra generada bajo
una
Licencia idéntica a ésta.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de
la licencia de esta obra.
Alguna de estas condiciones puede no aplicarse si se obtiene el
permiso del titular de los derechos de autor.
Nada en esta licencia menoscaba o restringe los derechos morales del
autor.
![Page 3: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/3.jpg)
INTRODUCCION
Cada día que pasa las empresas buscan mejorar sus tecnologías y por
supuesto su seguridad de la información, ya que también en el mundo
van evolucionando y se van encontrando nuevas vulnerabilidades en
dicha seguridad.
Por esto aparecen soluciones como es la implementación de un firewall,
lo cual puede llegar aportar una gran parte en la seguridad de una
compañía o empresa.
Este manual se hace con el fin de brindarle un poco mas de información
a aquellas personas que así como nosotros se sienten atraídas por algo
tan interesante como son las telecomunicaciones.
![Page 4: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/4.jpg)
Antes de iniciar con las configuraciones de cada uno de los escenarios
debemos tener en claro la siguiente terminología:
Firewall o cortafuegos es un dispositivo en hardware o software de
seguridad perimetral, que permite controlar el tráfico de entrada y salida;
ya sea desde o hacia la red, o hacia un equipo en específico. Su
funcionamiento se basa en crear una barrera ya sea entre un equipo y
una red, como en el caso de un firewall personal o entre dos tipos de
redes como es el caso de un firewall de red.
ISA Server (Internet Security and Acceleration) es un software de
seguridad perimetral de Microsoft (licencia privativa) que permite
implementar un firewall y al mismo tiempo un Proxy cache, protegiendo
así el entorno de TI (Tecnologías de Informática) frente a las amenazas
procedentes de Internet.
Iptables es una herramienta que permite al administrador manejar
netfilter (el cual esta vinculado al kernel de Linux), en pocas palabras
hace parte del sistema operativo, pudiendo así definir políticas de filtrado
del trafico el cual circulan por la red; Iptables es utilizando como
herramienta para tal fin.
Endian FireWall (EFW) es una distribución de seguridad con Licencia
Opensource basada en el kernel de Linux, que permite tener un
Firewall con una cantidad de características para la seguridad
perimetral. Endian FireWall incluye inspección de paquetes, como
Proxy en la capa de aplicación para varios protocolos (HTTP, FTP,
POP3, SMTP) con soporte antivirus y filtrado de spam para tráficos de
correo (POP y SMTP), y contiene filtrado de trafico Web.
![Page 5: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/5.jpg)
PRIMER ESCENARIO: SALIDA A INTERNET
(Configuración básica)
Fig. Escenario 1
Los requerimientos para el primer escenario son:
Existe un grupo de 4 usuarios de una pequeña compañía que desea “salir” a
Internet. Usted debe garantizar que los usuarios lo puedan hacer configurando
un Gateway que proporcione servicios de enrutamiento básico y NAT.
Debe asegurarse que desde la interfaz WAN no haya acceso a la red
interna.
![Page 6: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/6.jpg)
Recomendaciones:
Aprenda como enrutar tráfico de usuarios con diferentes sistemas
operativos hacia INTERNET.
No use un servidor Proxy, solo necesitamos enrutar las comunicaciones.
NUESTRO PRIMER ESCENARIO ESTA IMPLEMENTADO ASI:
Descripción:
Tenemos dos tarjetas de red conectadas en nuestro PC que operara como
Firewall, cada una de las tarjetas están conectadas a una red diferente, así:
Una de las interfaces esta conectada con la WAN (Internet),la cual posee la
dirección de red 10.3.6.46/25 y la Segunda interfaz esta conectada a nuestra
red privada LAN y posee la dirección IP 192.168.20.238/24.
Las direcciones IP de los cuatro (4) equipos que podrán salir a internet son:
192.168.20.11/24
![Page 7: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/7.jpg)
192.168.20.12/24
192.168.20.13/24
192.168.20.14/24
Ningún tipo de tráfico podrá ingresar a nuestra LAN desde la WAN.
CONFIGURACION DE IPTABLES COMO GATEWAY
Para la realización de este escenario, hemos decidido implementar la
herramienta que nos ofrece el sistema LINUX, llamado IPTABLES.
Antes de empezar a configurar el firewall debemos conocer las siguientes
variables y sus significados:
-A <CADENA (Chain)> Con esta variable debemos especificar la cadena en la
cual se aplicara la regla (PREROUTING-FORWARD-POSTROUTING-INPUT-
OUTPUT).
-s <origen (source)> Con esta variable especificamos el origen al cual se le
aplicara la regla (Si esta variable no es especificada, se tomaran todos los
orígenes (0.0.0.0/0)).
-d <destino (destination)> Esta variable nos especifica el destino, al cual se le
aplicara la regla (Igualmente si no se especifica se tomaran todos los destinos).
-p <protocolo (protocol)> En esta variable especificamos el protocolo de capa
de transporte al cual le aplicaremos la regla (Igualmente si no se especifica se
tomaran todos los protocolos).
-dport <puerto destino (destination port)> Con esta variable especificamos e
puerto destino al cual le aplicaremos la regla (Igualmente si no se especifica se
tomaran todos los puertos (Desde el 1 al 65535)).
![Page 8: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/8.jpg)
-j <ACCION> Esta variable especifica la ACCION que se tomara para esta
regla (ACCEPT-REJECT-DROP)
ACCEPT: Se tomara la opción de ACEPTAR todo lo que cumpla con lo
definido anteriormente en la regla.
REJECT: Se tomara la opción de RECHAZAR todo lo que cumpla con lo
definido anteriormente en la regla, pero se le avisara al usuario que
inicio la conexión, la ACCION que se a tomado.
DROP: Se tomara la opción de RECHAZAR todo lo que cumpla con lo
definido anteriormente en la regla, pero NO se le avisara al usuario que
inicio la conexión, la ACCION que se a tomado.
Ahora crearemos un script con la extensión .sh para realizar la configuración,
al cual llamaremos nuestro-firewall.sh y estará ubicado en /etc/.
Para llevarlo a cabo es necesario abrir la consola y loguearse en ella como
root, y luego ejecutamos los siguientes comandos.
Crearemos el script así:
#touch /etc/nuestro-firewall.sh
Ingresamos al archivo utilizando un procesador de textos (vi, vim, pico, nano,
gedit, etc)
#pico /etc/nuestro-firewall.sh
Y ahora le agregaremos las siguientes líneas:
![Page 9: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/9.jpg)
#!bin/sh -e
# habilitar enrutamiento
echo "1" > /proc/sys/net/ipv4/ip_forward
# REGLAS DE NUESTRO FIREWALL-IPTABLES
# liberar tablas de filtrado
iptables -F
# liberar tablas de NAT
iptables -t nat -F
# Habilitar NAT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Permitir 4 usuarios
iptables -A FORWARD -s 192.168.20.11 -j ACCEPT
iptables -A FORWARD -s 192.168.20.12 -j ACCEPT
iptables -A FORWARD -s 192.168.20.13 -j ACCEPT
iptables -A FORWARD -s 192.168.20.14 -j ACCEPT
# Permitir conexiones establecidas y relacionadas
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED -j ACCEPT
# Para que la interfaz WAN no haya acceso a la red interna
Iptables –A FORWARD –i eth1 –d 192.168.20.0/24 –j DROP
# DROP by default en FORWARD
iptables -P FORWARD DROP
![Page 10: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/10.jpg)
# FINAL
echo "Iniciando Nuestro Firewall-Iptables"
exit 0
Guardamos y Salimos del archivo.
Nota: Esta primer línea la agregamos con el fin de habilitar enrutamiento entre
interfaces, es decir dentro del archivo “ip_forward” se escribirá el numero uno
(1) en dicho archivo. Si en este archivo reencuentra el numero cero (0) significa
que el enrutamiento entre interfaces estará deshabilitado.
Ahora ejecutamos el Script, así: sh –x (Ejecutar) + Nombre del archivo
sh –x nuestro-firewall.sh
Damos Enter
Así nos aparecerá la Ejecución del Script, el cual nos permite ver errores de
nuestro archivo:
El símbolo “+” en cada línea significa que dicha línea esta correcta. Si
NO llegase aparecer alguna línea con el “+” y nos dice: NOT FOUND
significa que la línea esta errónea y debemos ingresar al archivo para
editarla.
# sh -x nuestro-firewall.sh
+ echo 1
+ iptables -F
+ iptables -t nat -F
+ iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
![Page 11: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/11.jpg)
+ iptables -A FORWARD -s 192.168.20.11 -j ACCEPT
+ iptables -A FORWARD -s 192.168.20.12 -j ACCEPT
+ iptables -A FORWARD -s 192.168.20.13 -j ACCEPT
+ iptables -A FORWARD -s 192.168.20.14 -j ACCEPT
+ iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
+ iptables -A FORWARD -m state --state RELATED -j ACCEPT
+ iptables -A FORWARD -i eth1 -d 192.168.20.0/24 -j DROP
+ iptables -P FORWARD DROP
+ echo Iniciando Nuestro FireWall-Iptables
Iniciando Nuestro FireWall-Iptables
+ exit 0
VERIFICAMOS LAS TABLAS DE FILTRADO (FILTER).
El comando que utilizaremos para ver las cadenas de INPUT-FORWARD-
OUTPUT por consola es: Iptables –L –n
Ejemplo:
# iptables -L –n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Podemos ver que las políticas por defecto de Forward es DROP.
![Page 12: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/12.jpg)
Chain FORWARD (policy DROP)
target prot opt source destination
Aquí vemos que se están permitiendo la salida a solo Cuatro usuarios:
ACCEPT all -- 192.168.20.11 0.0.0.0/0
ACCEPT all -- 192.168.20.12 0.0.0.0/0
ACCEPT all -- 192.168.20.13 0.0.0.0/0
ACCEPT all -- 192.168.20.14 0.0.0.0/0
Aquí vemos que se están permitiendo las conexiones relacionadas y
establecidas:
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED
Aquí vemos que no se esta permitiendo el trafico desde Internet hacia
nuestra LAN.
DROP all -- 0.0.0.0/0 192.168.20.0/24
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
VERIFICAMOS LAS TABLAS NAT.
![Page 13: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/13.jpg)
El comando que utilizaremos para ver las cadenas de PREROUTING-
POSTROUTING por consola es: Iptables –t nat –L
Ejemplo:
# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Aquí podemos ver que se esta aplicando el enmascaramiento para todos
los orígenes y todos los destinos.
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
LISTO…
![Page 14: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/14.jpg)
ESCENARIO 2: FILTRADO BÁSICO (Configuración media)
Fig 2. Escenario 2
Los requerimientos para el escenario 2 son:
![Page 15: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/15.jpg)
Cada servidor en la LAN tiene diferentes direcciones IP, se debe
garantizar el acceso desde Internet a estas aplicaciones.
Se debe denegar el acceso a las aplicaciones mencionadas para los
usuarios de la LAN, tenga en cuenta que las aplicaciones podrían abrir
mas puertos de los esperados, por favor haga pruebas para confirmar
que el firewall filtra adecuadamente.
Existen 2 usuarios administradores en la LAN, los cuales por ningún
motivo deben estar bloqueados, hay que garantizar el acceso a
INTERNET para estos usuarios.
Recomendaciones:
Piense como un intruso, como haría usted para vulnerar la
implementación que realizó?
Recuerde que el instructor va a confirmar la seguridad de su
implementación.
![Page 16: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/16.jpg)
NUESTRO SEGUNDO ESCENARIO ESTA IMPLEMENTADO ASI:
Descripción:
Tenemos dos tarjetas de red conectadas en nuestro PC el cual instalaremos
ISA server 2006 para operar como Firewall, cada una de las tarjetas están
conectadas a una red diferente, así:
Una de las interfaces esta conectada con la WAN (Internet),la cual posee la
dirección de red 10.3.6.66/25 y la Segunda interfaz esta conectada a nuestra
red privada LAN y posee la dirección IP 192.168.20.1/24.
![Page 17: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/17.jpg)
INSTALACION DE ISA SERVER 2006
REQUISITOS:
Primero debemos tener preinstalado como mínimo el Service pack 2 de
nuestro sistema operativo Windows Server, estos Service Packs los
podremos descargar desde la pagina oficial de Microsoft.
Tener una cuenta de Administrador en el sistema.
Mínimo 150MB de espacio libre en Disco.
Un equipo con dos tarjetas de red interconectadas...
PASOS A SEGUIR:
![Page 18: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/18.jpg)
1. Teniendo nuestro paquete o CD de instalación de ISA Server, lo ejecutamos,
ya sea dando doble clic sobre el .exe o poniendo a bootear el CD de instalación
del mismo.
2. Nos aparecerá el informe que nos dice la ruta donde se ubicara el ISA
Server, la cual por omisión es la partición del sistema C: y el espacio libre en
disco necesario para dicha instalación. Damos clic en Si para proceder con la
instalación.
Veremos como comienzan a extraerse todos los archivos necesarios.
![Page 19: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/19.jpg)
3. Ahora nos aparece el Programa de instalación de ISA Server, el cual nos
permite diversas tareas como son:
Leer notas de la versión.
Leer guía de instalación.
Leer la guía de inicio rápido.
Leer guía de actualización.
Salir del programa de instalación.
Instalar ISA Server 2006
![Page 20: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/20.jpg)
Elegimos la opción Instalar ISA Server 2006.
Comienza la comprobación de los componentes del sistema, como lo es el
Service Pack instalado, el espacio libre en disco, etc.
![Page 21: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/21.jpg)
4. Ahora se inicia el Asistente para la instalación, el cual nos guiara durante la
instalación de nuestro ISA. Pulsamos el botón Siguiente.
![Page 22: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/22.jpg)
5. Nos aparece los términos de licenciamiento del ISA Server, los cuales
debemos “leer” y aceptar, para proceder con nuestra instalación.
![Page 23: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/23.jpg)
6. Ingresamos el nombre de usuario y el serial de nuestro ISA Server.
7. Aquí elegimos el tipo de escenario que deseamos montar con nuestro ISA
Server.
La primer opción nos permite instalar un Servidor ISA Server, pero sin el
Servidor de Almacenamiento.
La segunda opción nos permite instalar un Servidor de Almacenamiento,
pero sin el Servidor ISA Server.
La tercera opción nos permite instalar tanto un Servidor ISA Server
como el Servidor de Almacenamiento.
Y la cuarta opción nos permite instalar herramientas para Administrar
Servidores ISA Server de forma remota.
Para nuestras necesidades elegiremos la opción numero 3. Clic en Siguiente.
![Page 24: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/24.jpg)
8. Aquí nos muestra los componentes que se instalaran, como son el Servidor
de Almacenamiento y el Servidor ISA.
![Page 25: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/25.jpg)
9. En esta parte de la instalación el Asistente nos pregunta si este servidor se
creara con una configuración desde cero (0) por decirlo así, o tomara la
configuración de otro servidor ya existente.
10. Nos aparece una alerta que nos informa que este será el primer servidor de
Almacenamiento en nuestra organización y que en caso de instalar un segundo
servidor ISA debemos copiar la información desde este (el primero). Clic en
Siguiente.
![Page 26: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/26.jpg)
11. Aquí nos pide que especificamos cual será la interfaz conectada a nuestra
red LAN (interna). Para agregar la interfaz damos clic en Agregar....
![Page 27: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/27.jpg)
Nos aparecerá una pequeña ventanita como esta. Aquí damos clic en Agregar
adaptador....
En esta nueva ventanita elegimos el Adaptador de red correspondiente a
nuestra LAN, en nuestro caso la conexión de área local 2, la cual posee la
dirección IP 192.168.20.1/24. Luego clic en Aceptar.
![Page 28: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/28.jpg)
Nos quedara algo como esto, clic en Aceptar.
![Page 29: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/29.jpg)
Ahora ya con la interfaz configurada damos clic sobre el botón Siguiente.
![Page 30: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/30.jpg)
12. Aquí podremos permitir que el Firewall se pueda entender con sistemas
operativos Windows antiguos como son: Windows 98 SE, Windows ME o
Windows NT 4.0, ya que ellos utilizan conexiones cifradas con algoritmos no
compatibles con ISA.
13. Aquí nos muestran los servicios que se reiniciaran y los que se
deshabilitaran durante el proceso de instalación. Clic en Siguiente.
![Page 31: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/31.jpg)
14. Ya estamos listos para la instalación la cual tardara unos cuantos minutos
¡PACIENCIA!. Damos clic en Instalar.
![Page 32: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/32.jpg)
Continúa el proceso de instalación...
15. Finaliza el proceso de instalación. Clic sobre el botón Finalizar.
![Page 33: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/33.jpg)
16. Ahora nos pide muy encarecidamente que reiniciemos el equipo para que
los cambios surtan efectos. Damos clic en Si.
Listo!!!!!!!!!!!!
![Page 34: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/34.jpg)
NAT POR DEFECTO ENTRE LA LAN Y LA WAN
Isa Server trae la ventaja de que ya trae la regla de NAT para darles salida
hacia Internet a nuestros equipos de la LAN.
Para ver esta regla nos vamos por Matrices-El nombre de nuestro equipo,
expandimos configuración, en REDES vamos a la Reglas de red. Veremos
algo como esto:
Si damos clic derecho sobre esta regla y luego clic en propiedades podremos
ver lo siguiente:
En la pestaña General podemos ver el nombre de la regla y que esta habilitada.
![Page 35: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/35.jpg)
En la pestaña Redes de origen, vemos las redes de origen.
En la ficha Redes de destino, vemos las redes de destino.
En la ficha Relación de redes, podremos ver que la acción que se esta
tomando la cual es “Traducción de direcciones de red (NAT)”
![Page 36: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/36.jpg)
CREANDO REGLAS
A la hora de crear reglas, ya sea para denegar o permitir accesos, debemos
tener muy en cuenta que un Firewall lee una a una las reglas que el
Administrador le haya especificado, siguiendo el orden; es decir primero la
regla #1, luego la #2, la #3, y así sucesivamente. Por lo tanto debemos ser muy
cuidadosos a la hora de establecer el orden de dichas reglas para poder que se
comporten tal cual lo deseamos.
Ejemplo:
Supongamos que queremos denegar el acceso a internet a un usuario llamado
“user1”, pero permitirles el acceso a todos los demás usuarios.
Si ponemos de primera la regla que permite el acceso a todos los usuarios y
luego la que deniega al usuario. No estaríamos haciendo nada ya que el
Firewall leería la primera regla, la cual permite el acceso de todos los usuarios
a Internet y entonces este usuario que deseamos denegar también lo tendría.
El orden correcto para dichas reglas seria primero denegar dicho usuario y
luego permitirle el acceso a toda la red.
![Page 37: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/37.jpg)
ACCESO A DOS USUARIOS ADMINISTRADORES.
Ahora crearemos la regla para permitirle acceso a todo a dos usuarios
administradores de nuestra red, para ello seguiremos los siguientes pasos:
1. Expandimos Matrices y luego el nombre de nuestro equipo (en nuestro caso
FIREWALL), damos clic sobre Directivas de Firewall (FIREWALL) al lado
derecho podremos ver cuadro en el cual podremos ver todas las tareas de
directivas de firewall que podremos diseñar. Damos clic en Crear regla de
acceso.
![Page 38: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/38.jpg)
2. Nos aparecerá el “Asistente para nueva regla de acceso” el cual nos ayudara
durante el proceso de creación de una nueva regla de acceso, le damos un
nombre a la regla y clic en Siguiente.
3. Luego nos dice que si la regla va a permitir o denegar algo, en este caso
permitiremos el acceso a todo para dos usuarios Administradores. Clic en
Siguiente.
![Page 39: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/39.jpg)
4. Ahora debemos elegir el tipo de trafico al cual se le permitirá, en este caso
elegimos “Todo el trafico saliente” y damos clic en Siguiente.
![Page 40: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/40.jpg)
5. Aquí debemos agregar a cuales orígenes se le aplica esta regla para ello
damos clic en Agregar….
Nos aparecerá una ventanita como la siguiente y como ya dijimos que solo le
permitiremos todo a dos usuarios, entonces deberemos crearlos, para ello
damos clic en Nuevo… y luego clic en Equipo.
![Page 41: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/41.jpg)
Aquí le damos un nombre al nuevo equipo y la dirección IP para dicho equipo.
Clic en Aceptar.
![Page 42: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/42.jpg)
Así lo hacemos con cada uno de los equipos a los cuales les permitiremos el
acceso a todo. Después de crearlos los podremos agregar buscándolos en
Equipos.
6. Después de agregarlos damos clic en Siguiente.
7. Ahora debemos agregar los destinos a los cuales se le permitirán los
accesos a los Administradores, en este caso damos clic en Agregar... y
agregamos la Externa. Clic en Siguiente.
![Page 43: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/43.jpg)
8. En este caso damos Siguiente ya que no estamos utilizando un sistema de
directorios para agregar usuarios.
![Page 44: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/44.jpg)
9. Aquí podremos ver que el “Asistente para nueva Regla de acceso” ha
finalizado correctamente la creación de la nueva regla de Acceso. Clic en
Finalizar.
![Page 45: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/45.jpg)
PERMITIR EL ACCESO A NUESTROS SERVICIOS DE RED.
Para permitir el acceso a nuestros servicios de red excepto para los servicios
de HTTP y de Correo, debemos seguir los siguientes pasos:
1. Nuevamente para crear una regla de acceso a nuestros servicios, vamos a
Directivas de Firewall, pero esta vez damos clic sobre “Publicar protocolos de
servidor no web”.
![Page 46: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/46.jpg)
2. Aparecerá el “Asistente para nueva regla de publicación de servidor”, el cual
será el encargado de guiarnos durante la creación de la regla. Le damos un
nombre a la regla y clic en Siguiente.
3. Aquí debemos escribir la dirección IP del servidor al cual se permitirá acceso
desde la red WAN (Internet).
![Page 47: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/47.jpg)
4. Escogemos el tipo de servicio que estará prestando nuestro servidor de los
que se muestran en la lista.
![Page 48: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/48.jpg)
En caso de no encontrar el servicio que buscamos, tenemos la opción de crear
uno nuevo. Para ello damos clic en Nuevo….
![Page 49: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/49.jpg)
Nos aparece el “Asistente para nueva definición de protocolos”, y le damos el
nombre que tendrá el nuevo servicio.
![Page 50: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/50.jpg)
Aquí debemos agregar los puertos, el protocolo y la dirección que utilizara la
conexión. Para ello damos clic en Nueva….
![Page 51: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/51.jpg)
Elegimos el protocolo ya sea TCP o UDP, la dirección sea de Entrada o de
Salida y el intervalo de puertos.
NOTA: La dirección de Entrada es cuando el tráfico va desde la WAN
hacia la LAN y la dirección de Salida cuando el tráfico va desde la LAN
hacia la WAN.
Nos quedara algo como esto, clic en Siguiente.
![Page 52: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/52.jpg)
Llegamos a las conexiones secundarias, aquí le podemos decir que nuestro
servidor está escuchando por más de un puerto, para ello decimos que SI, si
las necesitamos y la creamos dando clic en Nueva…, pero como este no es el
caso, la dejamos en NO y damos clic en Siguiente.
![Page 53: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/53.jpg)
Finalizamos el asistente de creación del nuevo protocolo.
![Page 54: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/54.jpg)
5. Después de crearlo, lo escogemos y pulsamos el botón Siguiente.
6. Escogemos cual será la interfaz de red de nuestro firewall que estará a la
escucha de las peticiones para el servidor interno, en este caso la interfaz será
la Externa. Pulsamos Siguiente.
![Page 55: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/55.jpg)
7. Pulsamos Finalizar para crear la nueva regla.
![Page 56: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/56.jpg)
NOTA: Así mismo vamos publicando uno a uno los sitios que no sean Web ni
de correo.
![Page 57: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/57.jpg)
PUBLICACION DE SERVIDOR WEB
Para la publicación de un servicio Web, debemos seguir los siguientes pasos:
1. Clic en Publicar sitios Web.
2. Nos aparecerá el “Asistente para nueva regla de publicación de web”, el cual
nos acompañara durante la publicación de nuestro sitio. Le damos un nombre a
la regla de publicación y clic Siguiente.
![Page 58: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/58.jpg)
3. Escogemos la acción que tomara la regla, en este caso “Permitir”, clic en
Siguiente.
4. Escogemos la primer OPCION, ya que solo publicaremos un solo servidor
Web.
Las otras dos opciones son para publicar un conjunto de servidores Web con
equilibrio de carga y múltiples servidores Web.
![Page 59: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/59.jpg)
5. Elegimos si el servidor usara un puerto seguro (443) o serán conexiones no
seguras (80). Damos clic en Siguiente.
![Page 60: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/60.jpg)
6. Escribimos el nombre de nuestro sitio (Ej: www.loscuatro.com) y la dirección
IP del servidor Web.
7. En este punto no es necesario especificar nada, simplemente damos clic en
Siguiente.
Aquí podemos escribir el nombre del archivo en el servidor Web al cual se
tendrá acceso o lo dejamos con el símbolo * que significa todos los archivos de
dicho servidor.
![Page 61: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/61.jpg)
8. Escribimos el nombre FQDN del servidor Web (Ej: www.loscuatro.com).
![Page 62: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/62.jpg)
9. Ahora crearemos la ip en la que nuestro Firewall escuchara las peticiones
dirigidas hacia nuestro servidor Web, como no hemos creado ninguna damos
clic en Nueva...
![Page 63: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/63.jpg)
Nos aparecerá el “Asistente para nueva escucha Web”, le damos un nombre a
la nueva escucha y damos clic en Siguiente.
Elegimos si el servidor usara un puerto seguro (443) o serán conexiones no
seguras (80). Esto lo hacemos para que el FireWall conozca acerca de hacia
que puerto deben ir dirigidas las conexiones. Damos clic en Siguiente
![Page 64: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/64.jpg)
Elegimos la interfaz en la cual nuestro FireWall estará atento a las conexiones,
en este caso Externa.
![Page 65: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/65.jpg)
El servidor no requiere ningún tipo de autenticación.
Damos clic en Finalizar para crear la nueva escucha Web.
10. Vemos como se a creado la escucha, damos clic en Siguiente.
![Page 66: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/66.jpg)
11. Nos piden si el cliente necesitara autenticarse contra el servidor web,
elegimos la opción “Sin delegación y el cliente no se puede autenticar
directamente”.
![Page 67: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/67.jpg)
12. Como ya se dijo no utilizaremos usuarios.
13. Finalizamos el Asistente y ya hemos publicado nuestro servicio Web
![Page 68: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/68.jpg)
NOTA: Para agregar el servicio de https, seguimos los mismos pasos
anteriores, solo que debemos cambiar algunos parámetros como el puerto y el
tipo de autenticación.
![Page 69: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/69.jpg)
PUBLICACION DE SERVIDOR DE CORREO
Para la publicación de un servicio de correo, debemos seguir los siguientes
pasos:
1. Clic en Publicar servidores de correo.
2. Nos aparecerá el “Asistente para nueva regla de publicación de servidor de
correo”, el cual nos acompañara durante la publicación de nuestro sitio. Le
damos un nombre a la regla de publicación y clic Siguiente.
![Page 70: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/70.jpg)
3. Elegimos la primera opción ya que será un servidor que se comunicara con
clientes más no con otros servidores de correo.
![Page 71: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/71.jpg)
4. Activamos los Check Box según los servicios de correo que necesitamos
publicar. En esta caso necesitamos el POP, IMAP y SMTP.
5. Escribimos la dirección IP del servidor de correo de nuestra LAN.
![Page 72: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/72.jpg)
6. Especificamos la interfaz en la cual nuestro FireWall estara atento para las
conexiones hacia dicho servidor.
7. Finalizamos el Asistente para completar el proceso de creación de la regla.
![Page 73: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/73.jpg)
DENEGAR EL ACCESO A ALGUNAS APLICACIONES.
Ahora pasamos a denegar algunas aplicaciones como son:
Web (Puertos 80, 443)
Correo (Puertos 25, 110, 143, 465, 995, 993)
Counter Strike (Puertos 1200, desde el 27030 al 27039 y desde el 27000
al 27015)
MSN (Puerto 1863)
Para bloquear dichos puertos seguimos los siguientes pasos:
1. Damos clic nuevamente en Crear regla de acceso.
![Page 74: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/74.jpg)
2. Nuevamente nos encontramos con el “Asistente para nueva regla de
acceso”, damos un nombre a la regla y damos clic en Siguiente.
3. Esta vez la regla va a tomar la acción de denegar. Clic en Siguiente.
![Page 75: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/75.jpg)
4. Aquí damos clic en Agregar para agregar los protocolos que denegaremos.
En caso de que el protocolo que deseamos especificar no se encuentre en la
base de datos del ISA, tenemos la opción de crear uno nuevo, para ello vamos
a la pestaña Nuevo y damos clic en Protocolo.
![Page 76: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/76.jpg)
Nos aparecerá el “Asistente para nueva definición de protocolos”, el cual es el
encargado de ayudarnos y guiarnos durante la creación del nuevo protocolo.
Ingresamos un nombre para el nuevo protocolo o aplicación y clic en
Siguiente.
![Page 77: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/77.jpg)
Aquí damos clic en Nueva… para definir los puertos del nuevo protocolo o
aplicación.
![Page 78: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/78.jpg)
Elegimos el tipo de protocolo, la Dirección y el intervalo de puertos.
Así vamos agregando uno a uno el intervalo de puertos, en caso de que dicho
servicio abra mas de un puerto, como es el caso de Counter Strike.
![Page 79: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/79.jpg)
Después de agregarlos los podremos observar. Damos clic en Siguiente.
![Page 80: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/80.jpg)
Clic en Siguiente.
Ya finalizamos el Asistente de definición de nuevos protocolos.
![Page 81: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/81.jpg)
5. Así agregamos uno a uno los protocolos ya mencionados para denegar,
luego damos clic en Siguiente.
6. Agregamos los origen a los cuales se le aplicaran la regla, en este caso será
a la red interna (LAN).
![Page 82: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/82.jpg)
7. Agregamos los destinos a los cuales se le aplicaran la regla, en este caso
será a la red Externa (Internet-WAN).
![Page 83: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/83.jpg)
8. Como ya se dijo anteriormente, no especificaremos ningún usuario.
9. Finalizamos el Asistente.
![Page 84: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/84.jpg)
PERMITIR EL ACCESO AL RESTO DE TRÁFICO HACIA INTERNET.
Ahora permitiremos el resto de tráfico hacia Internet, el cual no se ha definido
anteriormente.
Debemos seguir los siguientes pasos:
1. Nuevamente clic en Crear regla de acceso.
![Page 85: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/85.jpg)
2. Le damos un nombre a la regla y damos clic en Siguiente.
3. La permitimos y damos clic en Siguiente.
![Page 86: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/86.jpg)
4. Permitiremos todo el trafico saliente.
5. Agregamos los orígenes, en este caso la red Interna (LAN) y el Host Local
(El equipo que estamos configurando como FireWall).
![Page 87: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/87.jpg)
![Page 88: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/88.jpg)
6. Agregamos la red de destino, en este caso la Externa Internet-WAN).
![Page 89: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/89.jpg)
![Page 90: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/90.jpg)
7. No escogemos ningún usuario, clic en Siguiente.
8. Finalizamos el Asistente.
![Page 91: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/91.jpg)
Listo ya hemos creado todas las reglas necesarias según lo que se exigió
anteriormente.
Después de crear todas las reglas, no debemos olvidarnos de aplicar los
cambios, para ello damos clic sobre el botón Aplicar (color rojo) y clic en
Aceptar (color verde).
![Page 92: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/92.jpg)
ESCENARIO: FILTRADO CON DMZ (Configuración Avanzada)
Fig. Escenario 3
Los requerimientos para este escenario son:
Desde INTERNET solo es posible entrar directamente al servidor
PostgresQL de la LAN, el
resto del tráfico hacia la LAN estará denegado.
Puedo entrar a los servidores WEB y de CORREO desde INTERNET y
desde la LAN, usando
puertos seguros para descarga y envío de correos.
El servidor WEB puede acceder solamente al servidor SQL SERVER de
la LAN.
El servidor de CORREO puede acceder únicamente al servidor de
impresión de la LAN,
![Page 93: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/93.jpg)
siempre y cuando sea sábado o Domingo.
Los usuarios de la LAN no podrán acceder a los aplicativos que
aparecen en el diagrama.
![Page 94: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/94.jpg)
NUESTRO TERCER ESCENARIO ESTA IMPLEMENTADO ASI:
Descripción:
Tenemos tres tarjetas de red en un PC el cual instalaremos la distribución de
Linux Endian, Por otro lado tenemos nuestro Equipo el cual administraremos el
Endian gráficamente y así podremos configurarlo más fácilmente para que nos
opere como Firewall, cabe aclarar que este equipo debe estar conectado en la
red LAN (VERDE) para poder tener acceso a la administración.
Cada una de las tarjetas están conectadas a una red diferente, así:
Una de las interfaces esta conectada con la WAN (ROJO (RED) - Internet), la
cual posee la dirección IP 192.168.20.200/24.
La Segunda interfaz esta conectada a nuestra red Privada LAN (VERDE
(GREEN)) y posee la dirección IP 172.16.1.1/24.
![Page 95: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/95.jpg)
Y la tercera interfaz esta conectada a la DMZ (NARANJA (ORANGE) - Zona
desmilitarizada), la cual posee la dirección IP 10.0.0.1/24.
![Page 96: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/96.jpg)
INSTALACIÓN ENDIAN
Para iniciar la instalación de Endian Firewall, debemos indicarle a nuestro
equipo que inicie desde de la unidad de CD-ROM, en la cual debemos
introducir nuestro CD de instalacion de Endian. (La iso de este FireWall
podemos descargarla dando clic aquí, para luego quemarla en un CD).
Damos Enter para bootear, y así comenzar con la instalación.
![Page 97: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/97.jpg)
Como solo están estos 3 lenguajes para llevar a cabo la instalación,
escogemos Inglés (este idioma solo se utilizará durante la instalación, para la
administración de Endian FireWall, pero luego desde lainterfaz web podemos
cambiar el lenguaje por el que deseemos).
Bienvenidos a la Instalación de EFW (Endian Firewall).
![Page 98: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/98.jpg)
El proceso de instalación nos dará información sobre el disco duro en el que se
va a ubicar EFW, primero nos dice que el disco será particionado y que luego
las particiones tendrán un Sistema de Ficheros.
Advertencia! Todos los datos del sistema actual se perderán.
Está seguro que desea instalar EFW en el sistema.
Seleccionamos YES y OK.
Si deseamos habilitar una consola sobre un puerto serial, para conectarnos a
nuestro Firewall y configurarlo desde una Laptop por medio de un cable null
MODEM, en este caso no es necesario ya que lo administraremos desde la
Web. Cambiar imagen.
![Page 99: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/99.jpg)
Ahora si empieza la instalación de nuestro EFW:
En esta parte nos pide asignar dirección IP para la interfaz verde (LAN) esta
corresponde a la dirección de la red que tendra la interfaz de red conectada en
la LAN.
Le asignamos una dirección IP a nuestro servidor Endian.
Ya hemos instalado nuestro Endian FireWall satisfactoriamente en el sistema
ahora se reiniciara el equipo para comenzar a administrarlo desde la web.
![Page 100: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/100.jpg)
Luego de reiniciar nuestro equipo, veremos como se carga el GRUB del EFW.
![Page 101: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/101.jpg)
Mientras bootea el Sistema, podemos observar los servicios que va cargando:
![Page 102: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/102.jpg)
Podemos ver que carga el servicio de Firewall:
También carga el servidor Proxy (Squid):
![Page 103: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/103.jpg)
Luego nos logueamos en el sistema como root y la clave por defecto que es
endian.
![Page 104: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/104.jpg)
CONTINUACION DE LA INSTALACION DE ENDIAN VIA WEB
Ahora abrimos el navegador desde una de las maquinas que formara parte de
nuestra LAN y en la URL escribimos la dirección IP que ya hemos configurado
con anterioridad en la instalación de nuestro FireWall.
En nuestro caso http://172.16.1.1
Esto significa que el FireWall nos esta exigiendo una conexión segura
utilizando un certificado digital, para continuar damos clic en “Agregar una
excepción”.
![Page 105: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/105.jpg)
Damos clic en obtener certificado y confirmar excepción de seguridad.
![Page 106: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/106.jpg)
Bueno ahora si podemos continuar con la instalación de EFW. Vemos que nos
dan la bienvenida para la instalacion.
![Page 107: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/107.jpg)
Elegimos el idioma y la zona horaria.
![Page 108: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/108.jpg)
Aquí debemos “leer” y aceptar el licenciamiento de Endian.
![Page 109: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/109.jpg)
En esta parte, si ya se habia tenido un EFW configurado y se le saco un
BackUp podriamos importarlo para tomar la configuración anterior, pero como
este no es el caso lo dejamos tal cual esta y continuamos.
![Page 110: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/110.jpg)
Aquí le damos la contraseña que tendrá el usuario root y la del usuario admin,
el cual utilizaremos para la administración vía Web de Edian.
![Page 111: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/111.jpg)
Ahora elegimos el tipo de conexión WAN (ROJO), en nuestro caso sera un
enlace ethernet estatico.
![Page 112: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/112.jpg)
Como Endian nos ha detectado 3 tarjetas de red, ahora nos pregunta para que
utilizaremos la tarjeta de red que nos queda, en este caso la usaremos para un
Zona Desmilitarizada DMZ (NARANJA).
![Page 113: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/113.jpg)
Aquí asignamos las direcciones IP de la red LAN (VERDE) y de la DMZ
(NARANJA).
![Page 114: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/114.jpg)
También le damos un nombre al equipo y un nombre de dominio.
![Page 115: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/115.jpg)
Ahora pasamos a la configuración de la red WAN (ROJO), le damos la
direccion IP y la puerta de enlace (es decir el próximo salto al cual hay que
llegar después del FireWall).
![Page 116: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/116.jpg)
Ponemos las direcciones de DNS primario y secundario.
![Page 117: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/117.jpg)
Listo… damos clic en Aceptar, Aplicar la configuración
![Page 118: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/118.jpg)
Ahora no muestra que debemos esperar unos 20 segundos para que los
cambios hagan efecto en el sistema, pero lo mejor es ir y reiniciar nuestro EFW
manualmente.
Nuevamente debemos ingresar a la URL anterior, pero ahora vemos que nos
pide autenticación, el usuario requerido como se dijo anteriormente es admin y
la contraseña que se especifico en uno de los pasos anteriores.
![Page 119: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/119.jpg)
Al ingresar con lo primero que nos encontramos es con el menú inicio y
podemos ver el enlace entre nuestro FireWall y el proximo salto para salir a
Internet.
Listo!!!!!!!!!!!
![Page 120: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/120.jpg)
Ahora lo primero que debemos hacer es cambiar el idioma por “ingles” ya que
este software esta hecho básicamente en este idioma, y las traducciones
podrían tener palabras un poco erróneas o difíciles de entender.
Para esto vamos por Sistema-GUI settings y lo cambiamos.
![Page 121: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/121.jpg)
El endian trae NAT por defecto dede la LAN hacia la WAN y permite trafico
comun como es http, DNS, FTP, etc…
Para ver esto seguimos los siguientes pasos:
NAT POR DEFECTO-ENDIAN
Vamos a FireWall (Cortafuegos)-Port forwarding/NAT-NAT fuente y damos cli
en Mostrar las reglas del sistema, podremos ver la regla de NAT.
![Page 122: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/122.jpg)
Para ver el trafico vamos a FireWall (Cortafuegos)-outgoing traffic.
![Page 123: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/123.jpg)
DEFINIR REGLAS
ACCESO AL SERVIDOR POSTGRESQL DESDE INTERNET
Para llevar a cabo esta regla debemos seguir los siguientes pasos:
1. Vamos a Firewall, luego clic Port forwarding/NAT, damos clic en Add a new
port forwarding rule, debemos llenar los espacios requeridos.
En el espacio de Remark escribimos el nombre de la nueva regla, el puerto en
el cual el firewall estará alerta para luego reenviar las peticiones, la dirección IP
del servidor PostgreSQL y el puerto (por defecto es el 5432), habilitamos la
regla (habilitamos el Check Box Enabled) , clic en Add.
![Page 124: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/124.jpg)
2. Ahora agregaremos los orígenes a los cuales se les permitirá el acceso al
servidor de la LAN, para ello damos clic en el símbolo Add external
access.
Agregamos la direccion de red del origen. Clic en Add.
No debemos olvidar aplicar los cambios. Clic en Apply.
![Page 125: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/125.jpg)
PERMITIR ACCESO A LOS SERVIDORES EN LA DMZ DESDE INTERNET Y
DESDE LA LAN
PERMITIR A LA LAN
Vamos a Firewall, Inter-Zone traffic y Add zone firewall rule.
Elegimos la LAN (GREEN) como source y de destination la DMZ (ORANGE).
Definimos los puertos 443, 995, 993 y 80, la accion a tomar sera ACCEPT y la
Agregamos (Add rule).
![Page 126: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/126.jpg)
PERMITIR A LA WAN
Vamos a Firewall, Port forwarding/NAT y Add port forwarding rule.
Elegimos el protocolo.
La interfaz donde va escuchar el FW y el puerto.
Definimos la dirección IP del servidor interno y el puerto.
Una descripción, la habilitamos, ponemos el rango de ips a las cuales se les
dará permiso de acceder a este servicio.
Clic en Add.
Así vamos creando una a una las reglas de reenvió de puerto con cada uno de
los puertos que debemos habilitar para la WAN.
![Page 127: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/127.jpg)
ACCESO DEL SERVIDOR WEB AL SERVIDOR SQL SERVER
Para permitirle al servidor Web el acceso hacia el servidor SQL Server
debemos crear una regla de inter-zona.
Vamos a Firewall, Inter-Zone traffic y Add zone firewall rule.
En el campo Source escribimos la dirección IP del servidor Web, en Destination
la dirección IP del servidor SQL Server, definimos el Puerto por el cual esta
escuchando nuestro servidor SQL Server (por defecto es 1433), la Action será
ALLOW, le damos una descripción en el campo Remark, la habilitamos
(Checkear Enabled) y damos clic en Add rule.
Listo!!!!!!!
![Page 128: ESCENARIOS FIREWALL](https://reader033.vdocuments.pub/reader033/viewer/2022061605/5571f2ad49795947648ce216/html5/thumbnails/128.jpg)
NOTA1: La regla “El servidor de CORREO puede acceder únicamente al
servidor de impresión de la LAN, siempre y cuando sea Sábado o Domingo”, no
puede realizarse con una implementación de FireWall, ya que se esta pidiendo
un filtrado de contenido y el firewall no logra hacer esto.
NOTA2: La regla “Los usuarios de la LAN no podrán acceder a los aplicativos
que aparecen en el diagrama” no es necesario crearla porque EFW (Endian
FireWall) tiene la política por defecto en DROP, por lo tanto regla que no se
defina como ACCEPT se denegara.