practicas cortafuegos - alvaroprimoguijarro | just another ... · practicas cortafuegos 2012 2...
TRANSCRIPT
2012
Primo Guijarro, Álvaro
Seguridad Informática
02/02/2012
Practicas Cortafuegos
Practicas Cortafuegos 2012
2
Contenido 1. CONFIGURACIÓN ROUTER-FIREWALL ....................................................................................... 4
a) Router DLINK: ........................................................................................................................ 4
b) Router LINKSYS:..................................................................................................................... 5
c) Router TP-LINK: ..................................................................................................................... 5
2. ACL (CISCO) ................................................................................................................................ 6
a) Resolución de ejercicios. ....................................................................................................... 6
b) Resolución escenario UD3-2.a. Router Frontera. ............................................................... 14
3. IPTABLES (LINUX) ..................................................................................................................... 15
b) Resolución escenario UD3-1.a. NAT.................................................................................... 15
IPTABLES .................................................................................................................................. 19
4. DMZ. ........................................................................................................................................ 28
a) Resolución escenarios DMZ CISCO (Packet Tracert ). UD3-3.a. .......................................... 28
b) Resolución escenarios DMZ LINUX (Laboratorio virtual). UD3-3.b. .................................... 28
5. CORTAFUEGOS SOFTWARE. .................................................................................................... 29
a) Cortafuego integrado en Windows. .................................................................................... 29
i) Instalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux). .............. 29
ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad ........... 38
en la empresa: ..................................................................................................................... 38
Microsoft Forefront ..................................................................................................................... 38
Funcionalidades y ventajas ..................................................................................................... 39
b) Distribuciones libres para implementar cortafuegos en máquinas dedicadas. .................. 43
i) Instalación y configuración del cortafuegos “Firewall Zentyal”. ...................................... 43
ii) Instalación y configuración del cortafuegos “Firewall IpCop”. ....................................... 48
6. CORTAFUEGOS HARDWARE. ................................................................................................... 61
a) Elabora un informe sobre los cortafuegos hardware Cisco PIX (Private Internet Exchange)
y la tecnología ASA de Cisco. Comenta en detalle algún producto Cisco PIX. ........................ 61
Cortafuegos ................................................................................................................................. 61
Private Internet Exchange ....................................................................................................... 62
Cisco ASA .................................................................................................................................. 62
Pix Cisco firewall 505 .......................................................................................................... 63
Private Internet Exchange (PIX) ................................................................................. 63
Dispositivo de Seguridad Adaptativo de Cisco ASA Serie 5500 ....................................... 64
Tranquilidad ........................................................................................................................... 64
Practicas Cortafuegos 2012
3
Características destacadas .................................................................................................. 64
b) Elabora un informe sobre productos comerciales que implemente Gestión Unificada de
Amenazas “Firewall UTM” (Unified Threat Management). .................................................... 65
Practicas Cortafuegos 2012
4
1. CONFIGURACIÓN ROUTER-FIREWALL
a) Router DLINK: Creamos una regla que se llame primoguijarro que se deniegue 60 direcciones ip, acceder
desde la 90 a la 100, de martes a sábado, de las 4 y 20 de la mañana hasta las 8 y 15 de la
mañana.
Practicas Cortafuegos 2012
5
b) Router LINKSYS: Permite realizarle un filtro multicast, bloquear peticiones anonymous, etc…
c) Router TP-LINK: Este es mas básico solo permite Encenderlo y apagarlo:
Practicas Cortafuegos 2012
6
Respecto a ACL, nos permite:
2. ACL (CISCO)
a) Resolución de ejercicios.
DADO ESTE ESCENARIO:
Practicas Cortafuegos 2012
7
1) Elige el router adecuado para que los paquetes del PC1 no sean transmitido por la red 10.XX.0.0. Comprobar que si se permite los paquetes enviados por el PC2.
Probamos desde el equipo de 196.20.0.10
Ahora probamos desde el equipo 196.20.0.20
Practicas Cortafuegos 2012
8
2) Configurar en la red 192.XX.0.0/24 un filtro “anti-spoofing” para que no sea enviado ningún paquete por la red 10.XX.0.0 que no coincida con su dirección de origen. Realizarlo también para la red 196.XX.0.20
Lo hacemos primero con la red 196.20.0.0/24:
Ahora con la red 192.20.0.0/24:
Practicas Cortafuegos 2012
9
Insertamos un PC nuevo con la dirección IP 192.20.0.30, e intentamos realizar un ping a la otra
red, y comprobamos que no nos funciona:
3) Borrar las ACLs definidas anteriormente. Para la red 192.20.0.0/24
Para la red 196.20.0.0/24
4) Permitir que el equipo PC3 pueda utilizar el servidor HTTP de SERVNORTE y no pueda utilizar el resto de servicios de dicho servidor.
Denegamos que el servidor dns y de correo, resuelva para el equipo 192.20.0.10
Practicas Cortafuegos 2012
10
access-list 101 permit tcp host 192.20.0.10 host 196.20.0.2 eq www
access-list 101 deny tcp host 192.20.0.10 host 196.20.0.2 eq 25
access-list 101 deny udp host 192.20.0.10 host 196.20.0.2 eq 53
access-list 101 permit ip any any
Comprobamos en el cliente que no nos resuelve el servidor DNS:
5) Permitir que el equipo PC1 pueda utilizar el servidor FTP de SERVSUR y el PC2 no pueda utilizarlo dicho servicio. Permitimos que el pc1 acceda al servicio ftp y el pc2 no pueda:
Probamos en el equipo PC1, que nos tiene que dejar acceder con el usuario jorge:
Practicas Cortafuegos 2012
11
Ahora con el PC2, no nos deja acceder:
6) No permitir que el PC2 pueda comunicarse con el PC4. access-list 101 deny ip host 196.20.0.20 host 192.20.0.20
access-list 101 deny icmp host 196.20.0.20 host 192.20.0.20 echo
access-list 101 deny tcp host 196.20.0.20 host 192.20.0.20
access-list 101 deny udp host 196.20.0.20 host 192.20.0.20
access-list 101 permit ip any any
Probamos desde el cliente PC2, realizar un ping al PC4
Practicas Cortafuegos 2012
12
7) Borrar las ACLs anteriores.
8) No permitir que los ordenadores de la red 192.XX.0.0 se comuniquen con los ordenadores de la red 196.XX.0.0
Otra forma de hacerlo:
access-list 110 deny ip any 196.20.0.0 0.0.0.255
access-list 110 deny icmp any 196.20.0.0 0.0.0.255
access-list 110 deny tcp any 196.20.0.0 0.0.0.255
access-list 110 deny udp any 196.20.0.0 0.0.0.255
access-list 110 permit ip any any
Realizamos desde un ping la PC2 al servidor ftp de la otra red y comprobamos que no no deja.
Practicas Cortafuegos 2012
13
Realizamos un ping del PC4 al servidor DNS de la otra red, y no podemos acceder:
9) Borrar las ACL definidas anteriores.
10) Impedir cualquier tráfico ICMP entrante excepto el “Destino Unreachable” y el “Echo Reply” en el router RNORTE.
ACcess-list 100 Permit ICmp Any Any ECHO-Reply
ACcess-list 100 Permit ICmp Any Any Unreachable
ACcess-list 100 DEny ICmp Any Any
ACcess-list 100 Permit IP Any Any
Practicas Cortafuegos 2012
14
b) Resolución escenario UD3-2.a. Router Frontera.
Tenemos el siguiente escenario, donde queremos que los equipos de la empresa
accedan al ISP, pero que el ISP no pueda acceder a la LAN del Router frontera.
En el Router del ISP activamos las siguientes ACL:
Ahora comprobamos como desde el PC1 de la red 192.168.1.0/24 (Router frontera) podemos
acceder al ISP:
Practicas Cortafuegos 2012
15
Ahora desde un equipo de fuera del router frontera, intentamos acceder , y no nos tiene que
dejar:
3. IPTABLES (LINUX)
b) Resolución escenario UD3-1.a. NAT.
Creamos primero el escenario
Practicas Cortafuegos 2012
16
Borrar reglas iptables: iptables -t nat –F iptables -t nat –z Listar reglas: iptables -t nat -L -n Agregamos una tarjeta de red y la configuramos:
Borramos las reglas
Practicas Cortafuegos 2012
17
Configurar reenvio en Debian: echo 1 > /proc/sys/net/ipv4/ip_forward Acceder al fichero /etc/sysctl.conf y eliminar el comentario de la linea: net.ipv4.ip_forward = 1
Configurar NAT en Debian Cuando es estático:
Desde un cliente, configurado para la red 10.33.20.0/24.
Practicas Cortafuegos 2012
18
Intentamos acceder a internet desde un cliente de la red 10.33.20.0/24:
Practicas Cortafuegos 2012
19
IPTABLES
Firewall en la propia máquina
1º) Ver la vesión de Iptables:
2º) Borrado de todas las reglas
3º) Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde la dirección 192.168.0.155.
COMPROBACION:
4º) Eliminar todos los paquetes que entren.
Con esta opcion podremos observar que el ping no se ejecuta:
Practicas Cortafuegos 2012
20
5º) Permitir la salida de paquetes.
6º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección 192.168.0.155.
7º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección de red 192.168.0.0.
Comprobación:
8º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección 192.168.0.155 y enviar un mensaje de error icmp.
COMPROBACION:
9º) Permitir conexiones locales (al localhost), por ejemplo a mysql.
Practicas Cortafuegos 2012
21
10º) Permitir el acceso a nuestro servidor web (puerto TCP 80).
COMPROBACION
11º) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21).
COMPROBACION:
12ª) Permitimos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de SSH.
Practicas Cortafuegos 2012
22
Comprobación:
13º) Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de Telnet.
COMPROBACION:
14º) Rechazamos las conexiones que se originen de la máquina con la dirección física 00:db:f0:34:ab:78.
COMPROBACION:
Practicas Cortafuegos 2012
23
Firewall de una LAN
CONFOGURACION DEL ROUTER:
15º) Rechazamos todo el tráfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde una red remota, como Internet, a través de la interfaz eth0.
Practicas Cortafuegos 2012
24
Comprobación:
16º) Cerramos el rango de puerto bien conocido desde cualquier origen:
Comprobación Antes de la regla:
A continuación:
Practicas Cortafuegos 2012
25
17º) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto 80):
COMPROBACION: DESDE UN EQUIPO DE LA RED 192.168.2.0 a un servidor web remoto:
18º) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https:
COMPROBACION DESDE UN CLIENTE DE LA RED 192.168.2.0 A UN SERVIDOR WEB HTTPS:
Practicas Cortafuegos 2012
26
19º) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los DNS, y denegamos todo el resto a nuestra red: iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 0.0.0.0/0 –p udp -–dport 53 –
j ACCEPT
iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 0.0.0.0/0 –p tcp -–dport 53 –
j ACCEPT
iptables –A FORWARD –s 192.168.0.0/24 –i eth1 –d 0.0.0.0/0 -j DROP
Ahora comprobaremos que un cliente de la red 192.168.2.0 puede realizar una resolución DNS pero por ejemplo no puede realizar un ping, puesto que tiene denegada esa función: Comprobación del DNS:
Pero el ping fallara o mejor dicho no se realizara, por la elección de la opcion DROP:
Practicas Cortafuegos 2012
27
20º) Permitimos enviar y recibir e-mail a todos:
NO PUEDO COMPROBAR ESTAS REGLAR POR NO DISPONER DE UN SERVIDOR DE CORREO INSTALDO: 21º) Cerramos el acceso de una red definida 10.33.20.0/24 a nuestra red LAN 192.168.2.0/24:
Ahora realizamos un ping desde un host de la red 10.33.20.0 a un host de la red 192.168.2.0/24:
22º) Permitimos el paso de un equipo específico 10.33.20.50 a un servicio (puerto 5432) que ofrece un equipo específico (192.168.2.40) y su respuesta: iptables –A FORWARD –s 10.33.20.50/24 –i eth0 –d 192.168.2.40 –p tcp –dport
5432 –j ACCEPT
iptables –A FORWARD –s–i eth0 –d 192.168.2.40 –p tcp –dport 5432 –j ACCEPT
ESTA CONFIGURACION NO LA HE PODIDO COMPROBAR POR NO SABER COMO REALIZAR UNA CONEXION HACIA ESE PUERTO.
Practicas Cortafuegos 2012
28
23º) Permitimos el paso de paquetes cuya conexión ya se ha establecido o es nueva pero está relacionada a una conexión ya establecida.
4. DMZ.
a) Resolución escenarios DMZ CISCO (Packet Tracert ). UD3-3.a.
El tráfico de la red externa a la DMZ está autorizado
El tráfico de la red externa a la red interna está prohibido
El tráfico de la red interna a la DMZ está autorizado
El tráfico de la red interna a la red externa está autorizado
El tráfico de la DMZ a la red interna está prohibido
El tráfico de la DMZ a la red externa está denegado HAY QUE HACERLO MEDIANTE NAT Y NO SE HACERLO EN PACKET TRACERT.
b) Resolución escenarios DMZ LINUX (Laboratorio virtual). UD3-3.b.
Practicas Cortafuegos 2012
29
5. CORTAFUEGOS SOFTWARE.
a) Cortafuego integrado en Windows.
i) Instalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux).
Accedemos a la página oficial de www.kerio.com y lo descargamos:
En el progreso de instalación nos saldrá esta ventana, donde nos avisa que va ha deshabilitar el
Firewall que trae por defecto Windows.
Ponemos un usuario y una contraseña:
Practicas Cortafuegos 2012
30
Inicio/Todos los Programas/Kerio/Kerio
Firewall
Accedemos con nuestro usuario y
contraseña:
Mediante el asistente configuramos la conexión a internet que tendremos, es decir, si vamos a
tener una red local, que pasara atreves de este PC, el cual filtrara los paquetes:
Practicas Cortafuegos 2012
31
Lo realizaremos mediante una conexión a Internet, le indicamos la interfaz, que salga
directamente a Internet.
De momento permitimos todos los servicios, pero más adelante denegaremos el ftp.
Practicas Cortafuegos 2012
32
Esto es para si utilizásemos un Servidor VPN Kerio, como nunca se sabe, Marcamos que
Esta opción es para si tuviésemos algún servidor dentro de la LAN, es decir, para realizar una
DMZ, con un servidor web o VPN, que puedan acceder:
Practicas Cortafuegos 2012
33
Una vez terminado el Asistente le damos a Politica de trafico, seleccionamos Trafico de
firewall, y pinchamos donde pone Servicio:
Practicas Cortafuegos 2012
34
Nos saldrá esta ventanita, donde seleccionamos FTP, y le damos a quitar. Aplicamos los
cambios:
Ahora probaremos a realizar una conexión ftp, mediante el terminal:
Como podemos observar no nos deja acceder.
Practicas Cortafuegos 2012
35
También podemos ver otras opciones de estadísticas de la red.
Practicas Cortafuegos 2012
36
Las conexiones que existen atraves de la regla Trafico del firewall
Practicas Cortafuegos 2012
37
Aquí podemos un log de la configuración que vamos haciendo:
Practicas Cortafuegos 2012
38
ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad
en la empresa:
Microsoft Forefront
Microsoft Forefront es una completa línea
de productos de seguridad que permite una
mayor protección y control por medio de
una excelente integración con su
infraestructura de TI actual y una operación
más sencilla de implantación, gestión y
análisis. La línea de productos de seguridad
Microsoft Forefront ofrece protección para
las máquinas cliente, aplicaciones de
servidor y la red perimetral.
Su completo conjunto de productos de
seguridad, que se integran entre sí y con la
infraestructura informática de su empresa,
puede complementarse e interoperar con
soluciones de terceros.
Contiene los siguientes productos:
Microsoft Forefront Client Security (anteriormente denominada Microsoft Client
Protection).
Microsoft Forefront Server for Exchange Server (anteriormente denominada
Microsoft Antigen for Exchange).
Microsoft Forefront Server for SharePoint® (anteriormente denominada
Microsoft Antigen for SharePoint).
Microsoft Forefront Security for Office Communications Server (anteriormente
denominada Antigen for Instant Messaging).
Microsoft Internet Security and Acceleration (ISA) Server 2006 (Descargue la
información de este producto en XPS / PDF)
Intelligent Application Gateway (IAG) 2007 (Descargue la información de este
producto en XPS / PDF)
Forefront Server Security Management Console.
Practicas Cortafuegos 2012
39
Funcionalidades y ventajas
Todos ellos ofrecen una serie de funcionalidades y ventajas sobre los productos actuales de la competencia que podemos resumir en:
Protección para sistemas operativos
Forefront ayuda a proteger los sistemas operativos de clientes y servidores. Ofrece detección
en tiempo real, programado o a demanda así como eliminación de virus, spyware, rootkits y
otras amenazas emergentes.
Protección de aplicaciones de servidores críticas
Forefront ayuda a proteger los servidores de aplicaciones Microsoft a través de una estrategia
de defensa en profundidad. ISA 2006 ofrece un sólido control de acceso e inspección de datos
específicos de protocolo y de aplicaciones.
Acceso seguro y controlado
Forefront ofrece una amplia gama de tecnologías de firewall, VPN y encriptación, así como
funcionalidades de administración de identidades que ayudan a asegurar que sólo los usuarios
autorizados tengan acceso a los datos y recursos de TI especificados.
Protección de datos confidenciales
Practicas Cortafuegos 2012
40
Los productos Forefront resguardan los datos confidenciales y protegen la propiedad
intelectual. ISA 2006 proporciona una combinación de filtros específicos para cada aplicación
en toda la red, como también tecnologías que garantizan la confidencialidad y autenticidad de
los datos valiosos para su empresa.
Integración desde el diseño
Los productos Forefront ofrecen múltiples niveles de integración, de modo que se pueda lograr
una mayor eficiencia y control en términos de seguridad de la red.
Integración con aplicaciones
Los productos anti-malware y de seguridad de acceso Microsoft Forefront están especialmente
diseñados para proteger e integrarse con aplicaciones de servidores de misión crítica tales
como Exchange, Outlook® Web Access y SharePoint.
Integración con la infraestructura informática
Esta infraestructura unificadora permite administrar sin
inconvenientes la implementación, distribución,
configuración y aplicación de los productos de seguridad,
y permite hacerlo con un nivel de control detallado y
minucioso.
Integración en Forefront
Los productos Forefront están diseñados para poder
operar juntos, de modo que se puedan aprovechar sus
funcionalidades y lograr una mayor cobertura de
seguridad.
Administración simplificada y centralizada
Los productos Microsoft Forefront están diseñados de
forma tal que permiten simplificar la implementación,
configuración, administración, generación de informes y
análisis. De esta forma, su empresa tiene mayor
confiabilidad en cuanto a una excelente protección.
Implementación simplificada
Los utilitarios como ISA Server Best Practices Analyzer
Tool y los asistentes de configuración ayudan a establecer
una base sólida para una instalación de seguridad
contundente. La integración de Forefront con Active
Directory y los sistemas de actualizaciones como Systems
Management Server proporcionan los cimientos comunes
Practicas Cortafuegos 2012
41
para la administración de configuraciones y cambios. Tanto los usuarios como los
administradores se benefician con la distribución centralizada de configuraciones y políticas
actualizadas así como de actualizaciones de sistemas operativos o antivirus para clientes y
servidores.
Unificación de generación de informes y análisis
Forefront centraliza la recopilación y el análisis de la información de administración de
seguridad, dado que toda la información de seguridad se almacena en un único repositorio
SQL Server™, que puede utilizar los servicios de generación de informes y análisis (SQL Server
Reporting and Análisis Services) para identificar e interpretar los eventos de seguridad.
Administración simplificada
La administración y la generación de informes de seguridad están centralizadas en Forefront.
Sus componentes se integran plenamente con los sistemas de administración existentes,
incluyendo Microsoft Operations Manager, Microsoft Systems Management Server y Windows
Server™ Update Services. Las consolas de administración integradas de Forefront ofrecen las
conocidas interfaces de Microsoft y son, además, fáciles de utilizar; por otra parte, reducen el
tiempo de capacitación necesaria y ayudan a controlar los costes.
Énfasis en la capacidad de "aseguramiento"
Al concentrar gran parte de sus esfuerzos en los aspectos relacionados con la integración y la
administración de la seguridad –el "aseguramiento" de la infraestructura-, Forefront ayuda a
su empresa a:
Centralizar la administración de la seguridad.
Evitar los errores en la configuración.
Implementar la seguridad en toda la red.
Obtener una visión unificada de la seguridad de la red.
Conclusión
En conclusión, nos encontramos ante una familia de productos que, tanto juntos como de
manera independiente, nos ofrecen una solución:
Completa
A medida que los ataques aumentan, se tornan cada vez más costosos para su empresa,
aumentando el tiempo de reposo necesario, la recuperación e impactando en forma negativa
en la productividad y en la utilización de su software.
Practicas Cortafuegos 2012
42
Integrada
En general, los productos de seguridad no se integran mucho entre sí ni con la infraestructura
de TI existente de uno. Esta falta de sinergia en la infraestructura actual hace que sea más
difícil de controlar, creando potencialmente brechas e ineficiencias en la seguridad de su red.
Microsoft Forefront integra capacidades de seguridad en toda la línea de productos, con
aplicaciones de servidor Microsoft y con su infraestructura de TI existente, de modo que usted
puede lograr mayor eficiencia y control sobre la seguridad de su red.
Simplificada
Puede ser difícil obtener visibilidad crítica acerca del estado de seguridad de su red,
especialmente sin una herramienta de administración central. Sin este tipo de visibilidad,
implementar y administrar la seguridad es más difícil, ineficiente, propicia al error y consume
más tiempo.
Microsoft Forefront mejora su capacidad para mantener la seguridad de su organización al
simplificar la administración, instalación y uso de los productos de seguridad, con lo que
aumentará su confianza en que su organización está bien protegida.
Forefront aumenta la visibilidad en el estado de seguridad de su red al brindar una vista
individual de la red, permitiendo una administración y una mitigación de amenazas mejor y
más informada.
Practicas Cortafuegos 2012
43
b) Distribuciones libres para implementar cortafuegos en máquinas
dedicadas.
i) Instalación y configuración del cortafuegos “Firewall Zentyal”.
Tenemos el siguiente escenario:
Practicas Cortafuegos 2012
44
Lo primero que haremos será habilitar el cortafuegos desde el panel de control de Zentyal:
Le damos a Cortafuegos, y vamos a configurar una regla para una red Interna, hacia el Servidor
Zentyal.
Practicas Cortafuegos 2012
45
Teniendo otro equipo de la misma red con la dirección ip:
Asignaremos la regla para que no pueda acceder al servicio FTP, de Zentyal.
Practicas Cortafuegos 2012
46
Aquí podemos ver la regla:
Probamos con el cliente acceder, y vemos como no responde.
Practicas Cortafuegos 2012
47
Ahora borramos la lista para comprobar que funciona:
Intentamos acceder al servidor ftp de Zentyal:
Practicas Cortafuegos 2012
48
ii) Instalación y configuración del cortafuegos “Firewall IpCop”.
El escenario correcto que se tendría que hacer para una correcta configuración de IPCOP, seria
esta, donde el Cortafuegos seria un servidor que redirecciona todo lo que entre por la interfaz
eth1 (192.168.197.x) hacia la eth0, de modo que saldrían a internet gracias a este equipo, de
esta forma se podría controlar el filtrado de paquetes correctamente.
Pero como solo queremos configurarlo los aspectos más principales, nos crearemos otro
escenario acuerdo con los requisitos que disponemos:
Donde estando en la misma red, el
equipo XP administrara el Servidor
Firewall.
Practicas Cortafuegos 2012
49
Descargamos la imagen de ipcop y la arrancamos desde el CD. Seleccionamos el idioma
español.
Arrancamos desde el cd:
Practicas Cortafuegos 2012
50
Esperamos mientras revisa la configuración Hardware.
Comienza a instalar los ficheros necesarios para la correcta configuración del Firewall
Practicas Cortafuegos 2012
51
Saltamos este paso, marcamos la opción y le damos a Enter.
Configuraremos la tarjeta de red, en modo de interfaz GREEN, de modo que le damos a
Prueba:
Practicas Cortafuegos 2012
52
Nos dice que nos ha detectado correctamente, la tarjeta de red. Ok.
Le asignamos una dirección de red valida, de modo que usaremos:
Practicas Cortafuegos 2012
53
Nos dice que la prueba ha sido exitosa:
Configuramos el horario y le ponemos un nombre adecuado a la maquina:
Practicas Cortafuegos 2012
54
Aquí configuramos el servicio ISDN (Integrated Services Digital Network o RDSI Red
Digital de servicios Integrados), si es que fuera la forma por la que accedemos a
internet, en este caso es una conexión ADSL así que inhabilitaremos el ISDN, eligiendo
la opcion Inhabilite RDSI
Le damos a Ok, se aplican los cambios.
Practicas Cortafuegos 2012
55
Realizamos la configuracion DNS, junto con su puerta de enlace.
En el menú, le damos a Configuracion de direcciones y seleccionamos la interfaz GREEN, que es
la que usaremos solamente:
Practicas Cortafuegos 2012
56
Le introducimos una contraseña valida al root, para poder acceder:
Se reiniciara:
Practicas Cortafuegos 2012
57
Accedemos de la siguiente manera:
Ahora desde un cliente de la misma red, vamos Administrar el Servidor, mediante un usuario y
contraseña que ya hemos establecido anteriormente.
Practicas Cortafuegos 2012
58
En la Pestaña Control de trafico, vamos a restringir la velocidad de bajada y de subida:
Aqui añadimos unas cuantas restricciones de acceso al DNS, y al puerto 8080 asociado a un
Servidor WEB.
Practicas Cortafuegos 2012
59
Aquí podemos ver como se puede configurar un Proxy Web:
En modo grafico podemos ver la configuración de las tarjetas de red.
Practicas Cortafuegos 2012
60
O las tablas de enrutamiento ARP…
Incluso podríamos instalar un IDS…
Practicas Cortafuegos 2012
61
6. CORTAFUEGOS HARDWARE.
a) Elabora un informe sobre los cortafuegos hardware Cisco PIX
(Private Internet Exchange) y la tecnología ASA de Cisco. Comenta en
detalle algún producto Cisco PIX.
Cortafuegos
Soluciones para la seguridad de la red
Descubra por qué un cortafuego es un componente clave para la seguridad de la red y conozca las soluciones de cortafuego fiables e integradas de Cisco.
Un cortafuegos fiable es el rasgo distintivo de una red altamente protegida. Las redes ofrecen soporte para aplicaciones y procesos sensibles y fundamentales, y proporcionan una infraestructura común para los servicios convergentes de datos, voz y vídeo. Cisco integra la seguridad de cortafuegos en toda la red, e incorpora los servicios de seguridad en todos sus productos, en lugar de ofrecer productos puntuales que establecen un nivel de seguridad básico. El enfoque de Cisco convierte la seguridad de cortafuegos en un aspecto transparente, escalable y fácil de gestionar de la red y la infraestructura empresarial.
Un cortafuegos personalizado para la red
Cada cortafuegos de Cisco se basa en plataformas modulares y escalables y está diseñado para adaptarse a los requisitos de seguridad de los diversos entornos de red. Un cortafuegos puede implementarse de manera independiente para proteger una zona específica de la infraestructura de red, o se puede combinar para ofrecer un enfoque de defensivo más profundo, por capas. Todas las soluciones de cortafuegos de Cisco están diseñadas siguiendo las mejores prácticas y directrices desarrolladas para soluciones del mundo real.
Practicas Cortafuegos 2012
62
Private Internet Exchange
PIX es el acrónimo de Private Internet EXchange.
Esta sigla es utilizada por el fabricante tecnológico Cisco, para referirse a sus modelos de
equipos Cortafuegos (FireWalls).
Se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una
máquina Unix, sino que incluye un sistema operativo empotrado denominado Finesse que desde espacio
de usuario se asemeja más a un router que a un sistema Unix clásico.
El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm (ASA): a cualquier
paquete inbound (generalmente, los provenientes de redes externas que tienen como origen una red protegida) se le
aplica este algoritmo antes de dejarles atravesar el firewall, aparte de realizar comprobaciones contra la información de
estado de la conexión (PIX es stateful) enmemoria; para ello, a cada interfaz del firewall se le asigna un nivel de
seguridad comprendido entre 0 (la interfaz menos segura, externa) y 100 (la más segura, interna). La filosofía de
funcionamiento del Adaptive Security Algorithm se basa en estas reglas:
Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado.
Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino (outbound) es permitida si no se
prohíbe explícitamente mediante listas de acceso.
Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que su destino (inbound) es
denegada, si no se permite explícitamente mediante listas de acceso.
Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente.
Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de alerta es enviado a syslog.
Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con menor nivel de seguridad que
su destino, el firewall le aplica el adaptive security algorithm para verificar que se trata de una trama válida, y en
caso de que lo sea comprobar si del host origen se ha establecido una conexión con anterioridad; si no había una
conexión previa, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos
necesarios para identificar a la conexión.
El cortafuegos PIX puede resultar muy complejo de gestionar, especialmente a los que provienen del mundo Unix, ya
que como hemos dicho se asemeja más a un router que a un servidor con cualquier flavour de Unix; es por tanto
recomendable consultar bibliografía adicional antes de trabajar con estos equipos. Una buena referencia puede ser
[JF01], así como la documentación sobre el producto que está disponible a través de la web de Cisco Systems
(http://www.cisco.com/).
Cisco ASA En las redes de ordenadores , Cisco ASA 5500 Series Adaptive Security Appliances , o simplemente serie Cisco
ASA 5500 , es Cisco línea @ s de seguridad de la red los dispositivos introducidos en 2005, [ 1 ] que logró tres líneas
existentes de los populares productos de Cisco:
Cisco PIX , que proporciona firewall y Network Address Translation (NAT funciones).
Cisco IPS 4200 Series, que trabajó como sistemas de prevención de intrusiones (IPS).
Cisco VPN 3000 Series concentradores, que preveía la creación de redes privadas virtuales (VPN).
Practicas Cortafuegos 2012
63
Ejemplo: Pix Cisco firewall 505
Private Internet Exchange (PIX), refiere a los modelos de equipos Cortafuegos (Firewalls) que tiene Cisco. Se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una máquina Unix, sino que incluye un sistema operativo empotrado denominado Finesse que desde espacio de usuario se asemeja más a un router que a un sistema Unix clásico.
Private Internet Exchange (PIX)
El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm (ASA). La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas:
Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado. Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino
(outbound) es permitida, y cualquiera que tenga como origen una interfaz o red de menor seguridad que su destino (inbound) es denegada, lo anterior, si no se prohíbe explícitamente mediante listas de acceso.
Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente. Cualquier intento de violación de las reglas anteriores es detenido y se envía un
mensaje de alerta. Cuando a un interfaz del firewall llega un paquete proveniente de una red con menor
nivel de seguridad que su destino, el firewall le aplica el adaptive security algorithm para verificar que se trata de una trama válida, y en caso de que lo sea comprobar si del host origen se ha establecido una conexión con anterioridad; pues en caso contrario, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos necesarios para identificar a la conexión.
Practicas Cortafuegos 2012
64
Dispositivo de Seguridad Adaptativo de Cisco ASA Serie 5500
Tranquilidad
Mantenga un alto grado de confianza en la seguridad de su red.
Cualquier empresa que dependa de su red, necesita una seguridad sólida. Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 ofrecen una seguridad de última generación con la flexibilidad necesaria para satisfacer las necesidades de su compañía a medida que ésta crece y cambia.
Características destacadas
Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 soportan:
Personalización: Personalice la seguridad según sus necesidades de acceso específicas y sus políticas comerciales.
Flexibilidad: Conforme su negocio crezca y necesite cambios, podrá agregar fácilmente capacidades o actualizar de un dispositivo a otro.
Seguridad avanzada: Aproveche los últimos avances en seguridad de contenidos, cifrado, autenticación de identidad, autorización y prevención de intrusiones.
Simplicidad: Utilice un dispositivo diseñado para ser fácil de instalar, gestionar y supervisar.
Redes avanzadas: Configure redes privadas virtuales (VPN) que proporcionen a los trabajadores remotos y móviles un acceso seguro a los recursos de la compañía o establezca VPN entre partners, otras oficinas o empleados basadas en roles.
Al mantener su red segura y protegida, los empleados podrán acceder siempre a ella desde su ubicación. Los Dispositivos de Seguridad Adaptativos de la ASA Serie 5500 de Cisco son su primera y mejor línea de defensa.
Caracteristicas:
Los Dispositivos de Seguridad Adaptativa de Cisco ASA Serie 5500 ofrecen una amplia gama de características y posibles ventajas, entre las que se incluyen:
Caracterísiticas de seguridad galardonadas Soporte para dos VPN para comunicación entre oficinas o partners, con expansión de hasta
25 (ASA 5505) o 750 (ASA 5520) empleados Soporte para cualquier tipo de red de área local desde 5 (ASA 5505) hasta 250 (ASA 5550)
usuarios de red Opciones múltiples para conexiones de red de alta velocidad, en función de sus
necesidades de rendimiento Paquetes preconfigurados para facilitar los pedidos y la configuración Opciones para incrementar la fiabilidad
Practicas Cortafuegos 2012
65
b) Elabora un informe sobre productos comerciales que implemente
Gestión Unificada de Amenazas “Firewall UTM” (Unified Threat
Management). Los Firewalls más caros son los filtros Hardware, que producen una conmutación más rápida que un equipo software (el Hardware esta optimizado para esas tareas), y además proporcionan un nivel de seguridad muy alto, pudiéndose mejorar con nuevos y más modernos sistemas, gracias a las continuas actualizaciones On-Line. El avance de la tecnología, ligado a amenazas cada vez más complejas, ha provocado que las soluciones de seguridad perimetral avancen a una nueva generación, cuyo exponente más destacado aparece en las distintas gamas de UTM (Unified Threat Management). Gestión unificada de amenazas (UTM) se refiere a un producto de seguridad integral que
incluye la protección contra amenazas múltiples. Un producto UTM normalmente incluye un
firewall , software antivirus , filtrado de contenidos y un filtro de spam en un solo paquete
integrado. El término fue acuñado originalmente por IDC, un proveedor de datos de mercado,
análisis y servicios relacionados. Proveedores de UTM de Fortinet incluyen, LokTek, Secure
Computing Corporation y Symantec . Las principales ventajas de la UTM son la sencillez, la
instalación y el uso racionalizado, y la capacidad de actualizar todas las funciones de seguridad
o programas simultáneamente.
Como la naturaleza y la diversidad de las amenazas de Internet evolucionan y se vuelve más
complejo, los productos UTM pueden ser adaptados para mantenerse al día con todos ellos.
Esto elimina la necesidad de que los administradores de sistemas para mantener múltiples
programas de seguridad en el tiempo.
Practicas Cortafuegos 2012
66
Las principales ventajas 1. Reducción de la complejidad: solución de seguridad única. Solo proveedor. Solo AMC
2. Simplicidad: Evitar la instalación del software y el mantenimiento de múltiples
3. Gestión sencilla: Plug & Play Arquitectura, GUI basada en Web para una fácil gestión
4. Reducción de los requisitos de capacitación técnica, un producto de aprender.
5. Cumplimiento de la normativa
Desventajas clave 1. Punto único de fallo para el tráfico de red
2. Único punto de compromiso si la UTM tiene vulnerabilidades
3. Impacto potencial sobre la latencia y el ancho de banda cuando la UTM no puede mantenerse al día con el tráfico
Ejemplo:
Dlink DFL-860
Firewall UTM para pequeñas empresas
El firewall UTM DFL-860 ofrece una potente solución de seguridad para las oficinas de pequeño o medio tamaño, con hasta 150 usuarios, contra una amplia variedad de amenazas para la red en tiempo real. Al integrar un sistema de prevención de intrusos (IPS), un gateway antivirus (AV)y el filtrado de contenidos web (WCF) en un diseño industrial de tamaño de sobremesa, este dispositivo está dirigido a las empresas que buscan seguridad para la red a un precio competitivo.
Gestión de amenazas unificada El DFL-860 integra un sistema de prevención de intrusos (IPS), un gateway antivirus (AV)y el filtrado de contenidos/URL web para una mejor protección con inspección de contenido de nivel 7. Está disponible un servicio opcional de subscripciones para mantener actualizadas en tiempo real cada una de estas defensas.
Seguridad de red proactiva El DFL-860 incluye una característica especial llamada ZoneDefense: un mecanismo que funciona perfectamente con los conmutadores xStack de Dlink para ofrecer seguridad de la red proactiva. ZoneDefense pone en cuarentena automáticamente los ordenadores
Practicas Cortafuegos 2012
67
infectados de la red e impide que el tráfico malicioso invada la red.
Acelerador por hardware El DFL-860 usa un acelerador por hardware para llevar a cabo las funciones de escaneado antivirus e IPS simultáneamente, sin que se degrade el rendimiento del firewall ni de la red privada virtual. Este potente acelerador le permite al firewall trabajar con un rendimiento muy superior al de los firewall UTM con función antivirus del mercado.
Potente rendimiento de la red privada virtual El DFL-860 dispone de un motor de red privada virtual basado en hardware para soportar y gestionar hasta 300 túneles VPN. Admite los protocolos IPSec, PPTP y L2TP en modo cliente/servidor y también puede manejar el tráfico que pasa a través de él. La autentificación de usuario puede llevarse a cabo por medio de un servidor RADIUS externo o a través de la base de datos interna del firewall, que admite hasta 500 cuentas.
Regulación de tráfico y compartición de carga El DFL-860 proporciona tecnología de regulación de tráfico avanzada, lo que permite a los administradores priorizar y diferenciar el tráfico de la red y establecer límites de ancho de banda. Dos interfaces WAN aportan redundancia y equilibrio de carga saliente. * Además, el DFL-860 soporta SLB (Server Load Balancing), que permite compartir las peticiones del servicio de red entre varios servidores, con lo que mejora el rendimiento y la escalabilidad de la aplicación. *Funcionalidad disponible en próxima actualización del firmware.
Hardware - 7 puertos switch Ethernet 10/100Base-TX integrados. - 2 puertos WAN 10/100Base-TX para la conexión de módem DSL o de cable. - 1 puerto DMZ. - Puerto consola (RS-232). Rendimiento - Rendimiento: 150 Mbps (firewall), 60 Mbps (3DES/AES VPN). - Hasta 25.000 sesiones simultáneas. Firewall - Protección DoS/DDoS - Filtros de contenido (bloqueo de palabra clave en URL, bloqueo Java/ActiveX/Cookie/VB, bloqueo IM/P2P). - Modo PPPoE, NAT, PAT y transparente. - ALG (Application Layer Gateway). - Mecanismo ZoneDefense (seguridad de red proactiva). Enrutamiento - Enrutamiento basado en políticas (PBR). - Enrutamiento estático. - Enrutamiento dinámico OSPF. Gestión de amenazas unificada - Sistema de prevención de intrusos (IPS).
Practicas Cortafuegos 2012
68
- Protección de antivirus (AV). - Filtrado de contenido web (WCF).
VPN y autentificación - Hasta 300 túneles específicos para VPN. - IPSec NAT traversal - Encriptación: DES, 3DES, AES, Blowfish, Twofish, CAST-128. - Autentificación de usuario por medio de servidor RADIUS, LDAP, Active Directory o base de datos local (hasta 500 usuarios). - Vinculación direcciones IP-MAC.
Gestión de ancho de banda - Políticas basada en regulación del tráfico. - Ancho de banda garantizado, ancho de banda máximo, prioridad de ancho de banda. - Equilibrio de carga del servidor (SLB). - Equilibrio de carga saliente.1 1 Funcionalidad disponible en próxima actualización del firmware.
Tolerancia a fallos - Caída de enlace WAN.
Registro y gestión - Sistema de monitorización y aviso y registro de eventos, en tiempo real. - Configuración basada en web (http/https/SSH), interfaz de línea de comandos. - SNMP v1, v2c.