SOLUCIN PERIMETRAL FIREWALL EN DISTRIBUCIN - ZENTYAL

JOHANA CANO HERNNDEZ GRUPO: 38110

INSTRUCTOR ANDRES MAURICIO ORTIZ MORALES

CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL ADMINISTRACION DE REDES DE CMPUTO MEDELLN SENA 2011

CONTENIDO

INTRODUCCIN 1. OBJETIVOS 1.1 Objetivo General 1.2 Objetivo Especfico 2. FIREWALL EN DISTRIBUCIN ZENTYAL 2.1 Diagrama de la topologa red 3. CONFIGURACIN DE LAS INTERFACES 3.1 Interfaz DMZ 3.2 Interfaz LAN 3.3 Interfaz WAN 4. PRUEBA DE CONECTIVIDAD 5. CONFIGURACION DE LOS OBJETOS 5.1 Objeto LAN 5.2 Objeto DMZ 5.3 Objeto WAN 6. CONFIGURACIN DE LOS SERVICIO DE RED 6.1 Servidor WEB 6.2 Servidor DNS 6.3 Servidor FTP 6.4 Servidor SMTP 7. REGLAS DE FILTRADO DE PAQUETES 7.1 Reglas de filtrado desde las redes externas a Zentyal 7.1.1 Prueba de las reglas (WAN - - > ZENTYAL) 7.2 Reglas de filtrado desde las redes internas a Zentyal 7.2.1 Prueba de las reglas (LAN - DMZ - - > ZENTYAL) 7.3 Reglas de filtrado para las redes internas 7.3.1 Reglas de filtrado para las redes internas (LAN - - > DMZ) 7.3.2 Prueba de las reglas 7.3.3 Reglas de filtrado para las redes internas (DMZ - - > LAN) 7.3.4 Prueba de las reglas 7.3.5 Reglas acceso a Internet (LAN DMZ - - > WAN) 7.3.6 Prueba acceso a Internet Redes privadas 8. REDIRECCIN DE PUERTOS REGLAS DE NATEO 8.1 Pruebas reglas de NATEO 9. VOCABULARIO CONCLUSIONES BIBLIOGRAFIA

INTRODUCCIN Un Firewall puede ser implementado en una aplicacin o distribucin que cumple varias funciones para dar seguridad a la red, para este vamos a implementar una distribucin llamada ZENTYAL, en toda organizacin existe (o debera existir) una Poltica de Seguridad, un documento en el que se expresa aquello que est permitido respecto al manejo de la informacin, acceso a determinados servicios, entre otros. Las redes corporativas no estn delimitadas por lmites fsicos, en su lugar existen polticas de seguridad. Actualmente las tecnologas de redes (Internet) permiten la conectividad a cualquiera, desde cualquier lugar, pertenezca a una red interna o externa, en cualquier momento. Para acomodar esto una poltica de seguridad debe implementarse en toda la organizacin, proveer una cobertura integral y administracin basada en la poltica en todas las oficinas, usuarios mviles y remotos, socios de negocios y clientes. Para que sea efectiva estas polticas deben incluir un amplio rango de servicios que controlen el acceso a los recursos de informacin de la red, protejan la primaca e integridad de la informacin y las comunicaciones. El firewall forma parte integral de la Poltica de Seguridad de una organizacin y maneja los riesgos asociados a las redes, controlando y monitoreando los accesos a cualquier recurso existente en la red, la implementacin de este sistema de seguridad nos permitir adquirir un mejor conocimiento y manejo del mismo dentro de un entorno empresarial o corporativo.

1. OBJETIVOS 1.1 Objetivo General Establecer la seguridad entre diferentes zonas de confianza (redes locales) y una red externa (Internet) no confiable; desarrollar una herramienta para seguridad en redes de datos que permita establecer niveles de control y vigilancia sobre la informacin y comunicaciones que entran y salen de la red. 1.2 Objetivos Especficos Disear e implementar una distribucin de software (Zentyal) que permita formular un esquema de procesamiento basado en polticas administrativas con el fin de aprovechar el soporte que este ofrece. Establecer el rendimiento del firewall seleccionado evaluando su comportamiento teniendo en cuenta las limitaciones y beneficios que este trae para as fortalecer la seguridad en el ambiente re red. Adquirir conocimientos sobre distribuciones para Firewall, aprender su manejo y administracin comprendiendo cada unos de los parmetros establecidos para su funcionamiento y ejecucin.

2. FIREWALL EN DISTRIBUCIN ZENTYAL Zentyal es una plataforma de red unificada formada por una serie de mdulos que permiten administrar la infraestructura de red, actuar como puerta de enlace a Internet (Gateway), gestionar las amenazas de seguridad (UTM - Gestin Unificada de Amenazas), compartir archivos e impresoras, unificar las comunicaciones o una combinacin de estas. 2.1 DIAGRAMA DE LA TOPOLOGA RED En el siguiente diagrama se puede observar cual es el planteamiento para llevar a cabo esta solucin perimetral en la distribucin ZENTYAL. Esta topologa de red est compuesta por dos redes privadas, Red LAN y Red DMZ y una red pblica, Red WAN; cada una de las cuales est identificada con un direccionamiento especifico como se puede observar en la imagen y estn conectadas directamente al firewall (ZENTYAL) habiendo configurado el Gateway en cada una de ellas. La RED WAN tiene la conexin a Internet (192.168.10.0), esta es la red que dar salida tanto a Zentyal como a las otras maquinas para navegar y desde donde se podrn visualizar los servicios de red publicados. El principal objetivo de esta implementacin es publicar algunos servicios a la red pblica y denegar lo que no queremos que sea visto o que pueda ser vulnerable para intrusos maliciosos.

3. CONFIGURACIN DE LAS INTERFACES En la siguiente imagen podemos observar la interfaz grafica de Zentyal, esta distribucin tiene diferentes opciones de las cuales podemos hacer uso para lograr un sistema informtico seguro y confiable; para este caso vamos a implementar la opcin de FIREWALL para la seguridad en la red.

3.1 INTERFAZ DMZ (eth0) Para la configuracin de la interface, nos dirigimos a dirigirnos Red Interfaces, estando all podemos observar que para esta implementacin debemos tener tres adaptadores para cada una de las redes mencionadas anteriormente. La primera que vamos a configurar es la DMZ y para ello debemos darle un NOMBRE, seleccionar el mtodo que para este caso ser esttico, editamos la direccin IP con su respectiva mascara y por ultimo daremos clic en Cambiar.

3.2 INTERFAZ LAN (eth1) Para la configuracin de esta interfaz, vamos a realizar el mismo procedimiento que hicimos con la interfaz anterior, debemos dar clic en la pestaa eth1 y especificamos los mismos parmetros que all nos piden, esta direccin IP tambin ser esttica y damos clic en Cambiar.

3.3 INTERFAZ WAN (eth2) Para esta interfaz, debemos editar nicamente el Nombre y en el Mtodo ser por DHCP, ya que es la interfaz de salida a Internet (RED WAN), marcamos la opcin Externo WAN para que pueda obtener la direccin IP y damos clic en Cambiar. Por ltimo, ya configuradas todas las interfaces damos clic en la opcin Guardar cambios que se encuentra en la parte superior de la interfaz grafica.

Nos aparece un mensaje en el cual debemos dar clic en Guardar para que los cambios tomen efecto, esperamos a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

Para continuar con el proceso, vamos a dirigirnos a la pestaa ESTADO DEL MODULO para verificar que el Firewall si se encuentre activo y en funcionamiento, para esto debe estas seleccionado como se puede observar en la imagen.

Ahora, como siguiente paso nos dirigiremos a la consola de lnea de comandos de Zentyal y con el comando /etc/init.d/networking restart reiniciamos las interfaces para que la maquina pueda tener conectividad con cada una de las redes.

Como siguiente paso, con el comando ifconfig, vamos a verificar que efectivamente el direccionamiento IP ha quedado bien configurado en cada interfaz.

4. PRUEBA DE CONECTIVIDAD Para el funcionamiento de del Firewall, las maquinas deben tener conexin con ZENTYAL, para ello con el comando Ping vamos a ingresar a cada una de las maquinas y probamos conectividad con Zentyal, lo mismo hacemos estando en la maquina Zentyal hacia cada una de las redes. ZENTYAL - - > RED DMZ, LAN Y WAN

NOTA: El adaptador de Red de la maquina DMZ y la interfaz eth0 de Zentyal deben estar en RED INTERNA DMZ, el Adaptador de Red de la maquina LAN y la interfaz eth1 de Zentyal deben estar en RED INTERNA INTNET y por ltimo el Adaptador de Red de la interfaz eth2 de Zentyal debe estar en ADAPTADOR PUENTE (BRIDGE) que est directamente conectado a la Red WAN (Internet). RED DMZ - - > ZENTYAL

RED LAN - - > ZENTYAL

RED WAN - - > ZENTYAL

5. CONFIGURACION DE LOS OBJETOS Los Objetos de Red son una manera de representar un elemento de la red o a un conjunto de ellos. Sirven para simplificar y consecuentemente facilitar la gestin de la configuracin de la red; podemos dar un nombre reconocible a una direccin IP o a un grupo de ellas, en lugar de definir la misma regla en el cortafuego para cada una de las direcciones IP, simplemente bastara con definirla para el objeto de red que contiene las direcciones. 5.1 OBJETO LAN Para empezar a trabajar con los objetos en Zentyal, accederemos la seccin Objetos, los objetos se pueden crear, editar y para crear el primer objeto damos clic en Aadir objeto.

Estando all, debemos darle un Nombre al objeto que para este caso ser Red_Lan, y por ultimo damos clic en Aadir.

Nos aparece un mensaje diciendo Objeto aadido, y efectivamente podemos visualizar nuevo objeto; cada uno de los objetos se compondr de un miembro que podemos modificar en cualquier momento. Para hacer esto, damos clic en Miembros como se muestra en la imagen.

Para crear el nuevo miembro damos clic en Aadir nuevo para poder agregar como miembro la red LAN.

Un miembro tendr los siguientes valores: Nombre, Direccin IP y Mscara de red. La Direccin MAC es opcional y lgicamente slo se podr utilizar para miembros que representen una nica mquina y se aplicar en aquellos contextos que la direccin MAC sea accesible, cuando terminemos de editar estos parmetros damos clic en Aadir.

Al final, podemos observar que efectivamente el miembro fue agregado con el Nombre y la direccin IP de la Red LAN, en este caso pondremos la direccin IP de red 192.168.120.0/24

5.2 OBJETO DMZ Ahora, para agregar el objeto de la DMZ, realizaremos el mismo procedimiento hecho anteriormente dando clic en Aadir y colocando el Nombre.

Luego podemos visualizar que el Objeto ha sido aadido y damos clic en Miembros.

Damos clic en Aadir nuevo para agregar el nuevo miembro, debemos editar los mismos parmetros que anteriormente especificamos en la Red LAN y tambin vamos a poner la direccin de red de la DMZ.

Por ltimo, podemos observar que efectivamente el miembro fue agregado con el Nombre y la direccin IP de la Red DMZ.

5.2 OBJETO WAN Como siguiente paso, agregaremos el ltimo objeto (WAN), realizaremos el mismo procedimiento hecho anteriormente dando clic en Aadir y colocando el Nombre como podemos observar en la siguientes dos imgenes.

El Objeto ha sido aadido y damos clic en Miembros.

Damos clic en Aadir nuevo para agregar el objeto y editamos los parmetros necesarios para esta configuracin, tambin vamos a poner la direccin re red de la DMZ.

Ya habiendo aadido el miembro, podemos observarlo como se muestra en la siguiente imagen.

Aqu podemos observar que los tres objetos han sido agregados correctamente; ahora vamos a guardar los cambios que hemos hecho dando clic en la opcin Guardar cambios en la parte superior de la pantalla.

Nos aparece un mensaje informndonos que efectivamente se anexo informacin en el sistema y por consiguiente debemos dar clic en Guardar.

Debemos esperar a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

6. CONFIGURACIN DE LOS SERVICIO DE RED Los Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP, entre otros) y puertos usados por una aplicacin. La utilidad de los servicios es similar a la de los objetos; si con los objetos se puede hacer referencia a un conjunto de direcciones IP usando un nombre significativo, podemos as mismo identificar un conjunto de puertos por el nombre de la aplicacin que los usa. Los servicios que tenemos publicados en cada una de las redes existentes no se encuentran configurados por defecto en Zentyal, es por ello que debemos agregarlos dirigindonos al men SERVICIOS donde se listan los servicios existentes creados por cada uno de los mdulos que se hayan instalado y los que hayamos podidos definir adicionalmente. Para cada servicio podemos ver su NOMBRE, DESCRIPCIN y un indicador de si es INTERNO o no. Un servicio es interno si los puertos configurados para dicho servicio se estn usando en el mismo servidor. Para agregar un nuevo servicio damos clic en Aade nuevo.

6.1 SERVIDOR WEB Estando all debemos ingresar un Nombre con el cual se pueda identificar dicho servicio y una breve Descripcin acerca del mismo, tambin tenemos la opcin de seleccionar si este servicio es interno o no y por ultimo damos clic en Aadir.

Como podemos observar en la siguiente imagen, el servicio ha sido aadido, ahora damos clic en la opcin de Configuracin.

Estando all, para configurar el servicio debemos dar clic en Aadir nuevo.

Nos aparece una serie de parmetros que debemos editar para que el servicio pueda entrar en funcionamiento, estos valores son el Protocolo, Puerto origen y Puerto destino. En todos estos campos podemos editar el valor Cualquiera, por ejemplo para especificar servicios en los que sea indiferente el puerto origen o un Rango de puertos, o por el contrario debemos especificar un Puerto nico por el cual correr el servicio Web; por ultimo damos clic en Aadir. El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. Tambin existe un valor TCP/UDP para evitar tener que aadir dos veces un mismo puerto que se use en ambos protocolos, como en el caso de DNS.

Ahora podemos ver que el servicio quedo correctamente configurado y nos aparece un mensaje que nos indica que el servicio se ha aadido.

6.2 SERVIDOR DNS Como siguiente paso, para agregar este nuevo servicio, debemos seguir los mismos pasos que hicimos con el servicio Web, damos clic en Aadir nuevo. A este servicio le daremos un Nombre que lo identifique una Descripcin, damos clic en Aadir.

Nos aparece un mensaje diciendo que el servicio ha sido aadido, para editar los parmetros correspondientes a este damos clic en Configuracin.

Estando all, para configurar el servicio debemos dar clic en Aadir nuevo.

Para continuar, seleccionamos el Protocolo (TCP/UDP), Puerto origen (Cualquiera) y Puerto destino (53), damos clic en Aadir.

Ahora podemos ver que el servicio quedo correctamente configurado y nos aparece un mensaje que nos indica que el servicio se ha aadido.

6.3 SERVIDOR FTP Para agregar este nuevo servicio, debemos dar clic en Aadir nuevo. A este servicio le daremos un Nombre que lo identifique una Descripcin, damos clic en Aadir.

Aparece un mensaje diciendo que el servidor ha sido aadido, para editar los parmetros a configurar, damos clic en Configuracin.

Nos aparecer una nueva ventana donde nos indica que estamos configurando el servicio y damos clic en Aade nuevo.

Luego llenaremos nuevamente las opciones en las cuales sealaremos el Protocolo (TCP), el Puerto de destino (en este servicio vamos a establecer un rango de puertos ya que este trabaja con dos, 20 - 21), especificamos Cualquiera en Puerto de origen y por ultimo le damos en la opcin Aadir.

Habiendo hecho nos aparece un mensaje, el cual nos indica que el servicio se ha aadido, esto significa que se ha configurado correctamente.

6.4 SERVIDOR SMTP Ahora lo que haremos es agregar el servidor SMTP, para ello debemos dar clic en la opcin Aadir nuevo, y en las opciones requeridas escribimos el Nombre para la identificacin del servicio y una Descripcin, este servicio o es interno damos clic en Aadir.

Aparece un mensaje diciendo que el servidor ha sido aadido, para editar el servicio de red, damos clic en Configuracin.

Aparecer una nueva ventana donde nos indica que estamos configurando el servicio SMTP y damos clic en Aade nuevo.

Debemos empezar a llenar las opciones en las cuales sealaremos el Protocolo (TCP), el Puerto de destino, especificamos Cualquiera en Puerto de origen y por ultimo le damos en la opcin Aadir.

Habiendo hecho nos aparece un mensaje, el cual nos indica que el servicio se ha aadido, esto significa que se ha configurado correctamente.

El anterior procedimiento lo debemos realizar con todos aquellos servicios que deseemos agregar, tambin hemos anexado el servicio ICMP (Protocolo de Mensajes de Control de Internet), POP3, IMAP, HTPPS y SSH. A continuacin, en la siguiente imagen los podemos observar; para que estos cambios tomen efecto, damos clic en Guardar.

Inmediatamente aparece un mensaje en el cual nos indican que hemos hecho cambios y por consiguiente debemos guardarlos, damos clic en la opcin Guardar.

Debemos esperar a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

7. REGLAS DE FILTRADO DE PAQUETES En la distribucin Zentyal se pueden definir reglas en cinco diferentes secciones segn el flujo de trfico sobre el que sern aplicadas: Trfico de redes internas a Zentyal (permitir acceso al servidor de ficheros desde la red local). Trfico entre redes internas y de redes internas a Internet (restringir el acceso a todo Internet o determinadas direcciones a unas direcciones internas o restringir las comunicaciones entre las subredes internas). Trfico de Zentyal a redes externas (permitir descargar ficheros por HTTP desde el propio servidor). Trfico de redes externas a Zentyal (permitir que el servidor de correo reciba mensajes de Internet). Trfico de redes externas a redes internas (permitir acceso a un servidor interno. Cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una Direccin IP o un Objeto en el caso que queramos especificar ms de una direccin IP o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya que su valor es conocido a priori; ser siempre Zentyal tanto el Destino en Trfico de redes internas a Zentyal y Trfico de redes externas a Zentyal como el Origen en Trfico de Zentyal a redes externas. Todas y cada una de las reglas tienen asociado un Servicio para especificar el protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen son tiles para reglas de trfico saliente de servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son tiles para reglas de trfico entrante a servicios internos o trfico saliente a servicios externos. Cabe destacar que hay una serie de servicios genricos que son muy tiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente. El parmetro de mayor relevancia ser la Decisin a tomar con las conexiones nuevas. Zentyal permite tomar tres tipos distintos de decisiones: Aceptar la conexin. Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexin. Registrar la conexin como un evento y seguir evaluando el resto de reglas. De esta manera, a travs de Registros -> Consulta registros -> Cortafuegos podemos ver sobre qu conexiones se estn produciendo.

Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final, una vez que una regla acepta una conexin, no se sigue evaluando el resto. Una regla genrica al principio puede hacer que otra regla ms especfica posterior no sea evaluada, es por esto por lo

que el orden de las reglas en las tablas es muy importante. Existe la opcin de aplicar un no lgico a la evaluacin de la regla con Inversa para la definicin de polticas ms avanzadas. La decisin es siempre denegar las conexiones y tendremos que explcitamente aadir reglas que las permitan. Hay una serie de reglas que se aaden automticamente durante la instalacin para definir una primera versin de la poltica del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (en Trfico de Zentyal a redes externas) y tambin se permiten todas las conexiones desde las redes internas hacia las externas (en Trfico entre redes internas y de redes internas a Internet. Adems cada mdulo instalado aade una serie de reglas en las secciones Trfico de redes internas a Zentyal y Trfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes internas pero denegndola desde las redes externas. Esto ya se hace implcitamente, pero facilita la gestin del cortafuego puesto que de esta manera para permitir el servicio solamente hay que cambiar el parmetro Decisin y no es necesario crear una regla nueva. Destacar que estas reglas solamente son aadidas durante el proceso de instalacin de un mdulo por primera vez y no son modificadas automticamente en el futuro. Finalmente, existe un campo opcional Descripcin para comentar el objetivo de la regla dentro de la poltica global del cortafuego. Para la configuracin de cada una las reglas de filtrado, nos dirigimos a la opcin CORTAFUEGOS - FILTRADO DE PAQUETES, como se puede observar en la siguiente imagen.

7.1 REGLAS DE FILTRADO DESDE LAS REDES EXTERNAS A ZENTYAL Estas reglas permiten controlar el acceso desde la Red WAN o externa a Zentyal, lo ms aconsejable es denegarla por defecto, ya que no es seguro que una red pblica pueda tener acceso al Firewall o a los servicios del mismo, para ello nos dirigimos a Filtrado de paquetes y en la opcin de Reglas de filtrado desde las redes externas a Zentyal damos clic en Configurar reglas.

Para empezar a crear estas reglas, debemos dar clic en Aadir nuevo y as establecer la primera relacionada.

NOTA IMPORTANTE: Recordemos que para la creacin de estas reglas, vamos utilizar cada uno de los objetos creados anteriormente. Como siguiente paso debemos configurar la Decisin (accin) que para este caso ser en ACCEPT (ACEPTAR) ya que recordemos que todo est denegado por defecto; en Origen que es Zentyal, desplegamos las opciones y seleccionaremos Objeto origen - Red_wan, en Servicio pondremos ANY, que significa poder acceder a todo desde la red externa pero es posible ser ms

especficos seleccionando un servicio; en la Descripcin podemos poner un breve mensaje para identificarla, damos clic en Aadir.

Habiendo agregado la regla, podemos ver una tabla con los parmetros configurados, debemos guardar los cambios y para ello damos clic en Guardar cambios en el link del panel superior.

Inmediatamente aparece un mensaje en el cual nos indican que hemos hecho cambios y por consiguiente debemos guardarlos, damos clic en la opcin Guardar.

Debemos esperar a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

Para realizar las pruebas pertinentes y que las reglas puedan ser aplicadas, debemos dirigirnos a la opcin Estado del modulo, para as verificar si el modulo del Firewall est corriendo en la distribucin, si no est seleccionado debemos marcarlo y despus guardar los cambios que hemos hecho.

7.1.1

PRUEBA DE LAS REGLAS (WAN - - > ZENTYAL)

Para verificar que efectivamente el Firewall est permitiendo ingresar a ZENTYAL desde la RED WAN u otra red externa para, vamos a acceder al navegador Web de una maquina virtual real que se encuentre configurada dentro del direccionamiento IP 192.168.10.0/24 y debemos entrar con la direccin IP publica que tiene Zentyal (192.168.10.200/24). Ya que Zentyal utiliza el servidor Web seguro (Certificado Digital) para la conexin a su interfaz grafica, debemos agregar la excepcin ya que no tenemos este certificado instalado en el explorador.

Inmediatamente nos aparece una ventana en la cual debemos dar clic en Confirmar excepcin de seguridad para poder acceder.

Como podemos observar a continuacin, efectivamente accedi a la interfaz Web de Zentyal, desde aqu puede ser configurado el Firewall y otros servicios segn sean nuestras necesidades.

7.2 REGLAS DE FILTRADO DESDE LAS REDES INTERNAS A ZENTYAL Ahora realizaremos las reglas desde las redes internas a Zentyal, las cuales nos permitirn controlar el acceso desde las redes DMZ y LAN al administrador grafico Zentyal y a todos los servicios que en este estn corriendo. Lo primero que tenemos que hacer es dirigirnos a Cortafuegos Filtrado de paquetes - Reglas de filtrado desde las redes internas a Zentyal y damos clic en la opcin Configurar reglas como se muestra en la imagen.

Para crear estas reglas, debemos dar clic en Aadir nuevo y as establecer la primera.

Para continuar con este proceso debemos configurar la Decisin (accin) que para este caso ser en ACCEPT (ACEPTAR) ya que recordemos que todo est denegado por defecto; en Origen que es Zentyal, desplegamos las opciones y seleccionaremos Objeto origen - Red_Lan, en Servicio pondremos ANY, que significa poder acceder a todo desde la red LAN. Es posible ser ms especficos seleccionando un servicio; en la Descripcin podemos poner un breve mensaje para identificarla y damos clic en Aadir.

Al aadir la regla nos aparecer un mensaje que nos indica que la regla se ha aadido y como siguiente paso lo que vamos hacer es agregar otra regla para la Red DMZ, para realizar esta accin damos clic Aadir.

Para crear esta regla, debemos realizar el mismo procedimiento que hicimos en la regla anterior; especificaremos la Decisin (accin) que para este caso ser en ACCEPT (ACEPTAR) ya que todo est denegado por defecto; en Origen que es Zentyal, desplegamos las opciones y seleccionaremos Objeto origen - Red_dmz, en Servicio pondremos ANY, que significa poder acceder a todo desde la red DMZ. Podemos ser ms especficos seleccionando un servicio; en la Descripcin ponemos un breve mensaje para identificar la regla y damos clic en Aadir.

Al aadir la regla nos aparecer un mensaje que nos indica que la regla se ha aadido. Por ltimo vamos a crear la regla por defecto, esta va a estar en accin de DENY (denegar todo lo dems), con esta regla logramos impedir que otras redes internas no permitidas puedan tener acceso a Zentyal. Para realizar esta accin damos clic Aadir.

Para crear esta regla, debemos realizar el mismo procedimiento que hicimos en la regla anterior cambiando los valores establecidos y especificando la Decisin (accin) que para este caso ser en DENY (DENEGAR); en Origen que es Zentyal, desplegamos las opciones y seleccionaremos Cualquiera, es decir, denegar cualquier red excepto la red LAN y DMZ y en Servicio pondremos ANY, que significa prohibir cualquiera. Aqu tambin podemos ser ms especficos seleccionando un servicio; en la Descripcin ponemos un breve mensaje para identificar la regla y damos clic en Aadir.

Despus de haber agregado esta regla nos aparecer un mensaje que nos indica que la regla se ha aadido y por consiguiente podemos observar todas las reglas creadas en una tabla ordenadamente, por ultimo damos clic en la opcin Guardar que aparece en la parte superior. NOTA IMPORTANTE: La regla por defecto de DENY debe quedar al final de la tabla ya que por defecto Zentyal toma las reglas desde la primera hasta llegar a la ultima y como tal debemos hacer que aplique primero las que se encuentran en ACCEPT y que por ultimo aplique las de DENEGAR, para esto podemos implementar las flechas azules que se encuentran en la opcin Action.

Aparece un mensaje en el cual nos indican que hemos hecho cambios y por consiguiente debemos guardarlos, damos clic en la opcin Guardar.

Debemos esperar a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

7.2.1

PRUEBA DE LAS REGLAS (LAN - DMZ - - > ZENTYAL)

Ahora vamos a verificar que efectivamente el Firewall est permitiendo ingresar a ZENTYAL desde la RED LAN y la RED DMZ, para ello vamos a acceder al navegador Web de cada una de las maquina virtuales (lan - dmz) e ingresamos con la direccin IP del Gateway que tiene asociada cada una de las interfaces en Zentyal a los equipos. Ya que Zentyal utiliza el servidor Web seguro (Certificado Digital) para la conexin a su interfaz grafica, debemos agregar la excepcin ya que no tenemos este certificado instalado en el explorador. ACCESO DESDE LA RED LAN Y DMZ A ZENTYAL En cada una de las maquinas ingresamos con la direccin IP del Gateway e inmediatamente nos permite acceder a la interfaz grafica de Zentyal para su administracin.

7.3 REGLAS DE FILTRADO PARA LAS REDES INTERNAS 7.3.1 REGLAS DE FILTRADO PARA LAS REDES INTERNAS (LAN - - > DMZ)

En este punto realizaremos las reglas de filtrado para las redes internas, las cuales nos permitirn controlar el acceso entre las redes DMZ y LAN, para esta implementacin vamos a permitir que la Red LAN pueda ingresar a todos los servicios que estn corriendo en la maquina DMZ y que por el contrario esta ltima no tenga ningn acceso a los servicios de la LAN, que no pueda probar conectividad (Ping). Lo primero que tenemos que hacer es dirigirnos a Cortafuegos Filtrado de paquetes Reglas de filtrado para las redes internas y damos clic en la opcin Configurar reglas como se muestra en la imagen.

Para crear estas reglas, debemos dar clic en Aadir nuevo.

Las primeras reglas que vamos a crear son de permitir todos los servicios desde la Red LAN hacia la Red DMZ, en esta regla agregaremos el servicio de DNS y para ello lo que debemos hacer es llenar todos los campos requeridos. En la opcin de Decisin pondremos ACCEPT ya que la regla ser de permitir, en Origen seleccionamos Objeto de origen Red_lan porque es desde donde se va a originar la peticin, en Destino elegimos Objeto destino Red_dmz porque es a donde queremos acceder y en Servicio pondremos DNS ya que es el servicio que vamos a permitir; por ultimo nos piden una Descripcin y all editaremos un breve mensaje para identificarla, damos clic en Aadir.

Ahora vamos a permitir el Ping (ICMP) desde la Red LAN hacia la Red DMZ, para ello damos clic en Aadir nuevo, en la opcin de Decisin pondremos ACCEPT ya que la regla ser de permitir, en Origen seleccionamos Objeto de origen Red_lan porque es desde donde se va a originar la peticin, en Destino elegimos Objeto destino Red_dmz porque es a donde queremos acceder y en Servicio pondremos ICMP ya que es el servicio que vamos a permitir; por ultimo nos piden una Descripcin y all editaremos un breve mensaje para identificarla, damos clic en Aadir.

NOTA: Para agregar todos los servicios que vamos a permitir de la Red LAN hacia la Red DMZ, debemos realizar el mismo procedimiento aadiendo cada uno y especificando los parmetros requeridos en las reglas de filtrado.

Ahora crearemos la regla por defecto, esta va a estar en accin de DENY (denegar todo lo dems), con esta regla logramos impedir que otro tipo de servicios o peticiones no permitidas puedan tener acceso a la Red DMZ. Para realizar esta accin damos clic Aadir. Cambiamos los valores establecidos y especificamos la Decisin (accin) que para este caso ser en DENY (DENEGAR); en Origen que es la Red DMZ, desplegamos las opciones y seleccionaremos Cualquiera y en Servicio pondremos ANY, que significa prohibir cualquiera, en la Descripcin ponemos un breve mensaje para identificar la regla y damos clic en Aadir.

A continuacin en la siguiente imagen, podemos observar todos los servicios que hemos permitido y la ultima regla en denegar todo lo dems, ya que debemos recordar que esta regla deber estar al final, por ultimo damos clic en Guardar cambios.

Inmediatamente aparece un mensaje en el cual nos indican que hemos hecho cambios en el sistema de Zentyal y por consiguiente debemos guardarlos, damos clic en la opcin Guardar.

Debemos esperar a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

7.3.2 PRUEBA DE LAS REGLAS Ahora vamos a verificar que efectivamente el Firewall est permitiendo ingresar a los servicios desde la RED LAN hacia la RED DMZ, para ello como primer paso nos vamos a dirigir a la maquina LAN (192.168.120.2) y con el comando Ping verificamos la conectividad con la mquina de la DMZ como se muestra en la siguiente imagen.

Como siguiente paso, vamos a probar el servicio de HTTP; para ello no nos dirigimos al explorador y con la URL www.johana.com e inmediatamente tenemos permitido acceder a la pgina Web del servidor.

Ahora probaremos el servicio HTTPS (Web seguro), al igual que para el servicio anterior accederemos va Web con el nombre de dominio del servidor agregndole la letra S que significa seguro y cmo podemos visualizar en la siguiente imagen el ingreso es permitido.

Para continuar, ahora vamos a probar el servicio FTP accediendo al navegador Web de la maquina con la direccin IP del servidor 192.168.150.18, nos pedir autenticacin y por consiguiente debemos editar el usuario y la contrasea, damos clic en Aceptar.

Y como podemos observar en la siguiente imagen, podemos acceder al servicio.

Ahora probaremos el servicio DNS, ingresamos a una consola de lnea de comandos y ejecutamos el comando nslookup para resolver el dominio del servidor; como se puede observar en la prxima imagen efectivamente el servicio est permitido.

Para probar los servicios SMYP, POP3 e IMAP ingresamos nuevamente a una consola de lnea de comandos e implementamos el servicio de Telnet (TELecommunication NETwork) que es un protocolo de red que sirve para acceder mediante una red a otra mquina remota. Digitamos el comando telnet + nombre del servidor + numero de puerto del servicio al cual se quiere probar, que para este caso el nombre del servidor ser 192.168.150.18 y vemos que efectivamente el servidor da respuesta a la peticin. SMTP

IMAP

POP3

Ahora vamos a verificar si la regla por defecto que est en DENEGAR realmente si est funcionando, para ello ingresamos a la DMZ y probaremos conectividad hacia la Red LAN con el comando Ping y cmo podemos ver en la imagen, efectivamente la regla est funcionando ya que no puede ver al equipo de la dmz.

7.3.3. REGLAS DE FILTRADO PARA LAS REDES INTERNAS (DMZ - - > LAN) Para estas reglas vamos a permitir que la Red DMZ pueda ingresar a los servicios WEB y SSH que estn corriendo en la maquina LAN. Lo primero que tenemos que hacer es dirigirnos a Cortafuegos Filtrado de paquetes Reglas de filtrado para las redes internas y damos clic en la opcin Configurar reglas Aadir nuevo. En la opcin de Decisin pondremos ACCEPT (ACEPTAR) ya que la regla ser de permitir, en Origen seleccionamos Objeto de origen Red_dmz porque es desde donde se va a originar la peticin, en Destino elegimos Objeto destino Red_lan porque es a donde queremos acceder y en Servicio pondremos WEB ya que es el servicio que vamos a permitir; por ultimo nos piden una Descripcin y all editaremos un breve mensaje para identificarla, damos clic en Aadir.

As mismo vamos a agregar el servicio SSH, damos nuevamente en aadir y editamos la Decisin en ACCEPT (ACEPTAR), en Origen seleccionamos Objeto de origen Red_dmz porque es desde donde se va a originar la peticin, en Destino elegimos Objeto destino Red_lan porque es a donde queremos acceder y en Servicio pondremos SSH, por ultimo nos piden una Descripcin y all editaremos un breve mensaje para identificarla. Damos clic en Aadir.

7.3.4. PRUEBAS DE LAS REGLAS Como podemos observar en la siguiente imagen, las dos reglas fueron aadidas correctamente. Ahora vamos a guardar los cambios realizados para que las reglas puedan entrar en funcionamiento, damos clic en la opcin Guardar y debemos esperar a que cargue la configuracin.

Ahora probaremos el servicio WEB accediendo al navegador Web de la maquina DMZ con la direccin IP de la LAN 192.168.120.2, y como podemos visualizar efectivamente nos permiti acceder al servicio.

Estando en la maquina DMZ, ingresamos a una consola de lnea de comandos y ejecutamos el comando ssh X root@192.168.120.2 para conectarnos remotamente a la maquina por medio del servicio SSH, debemos digitar la contrasea de la maquina y vemos que nos conectamos exitosamente.

7.3.5. REGLAS DE ACCESO A INTERNET (LAN DMZ - - > WAN) Estas reglas que haremos a continuacin les permitirn a cada una de las redes internas (LAN DMZ) tener acceso a INTERNET; para ello nos dirigimos nuevamente a Cortafuegos Filtrado de paquetes - Reglas de filtrado para las redes internas y damos clic en la opcin Configurar reglas Aadir nuevo.

 REGLA INTERNET (DMZ) Empezamos a llenar los valores establecidos y especificamos la Decisin (accin) que para este caso ser en ACCEPT (ACEPTAR); en Origen que para este caso es la Red DMZ, desplegamos las opciones y seleccionaremos Red_dmz, en Destino seleccionamos Cualquiera y en Servicio pondremos ANY para que esta red pueda acceder a cualquier servicio en la red externa (WAN), en la Descripcin ponemos un breve mensaje para identificar la regla y damos clic en Aadir.

REGLA INTERNET (LAN) Para esta regla, tambin realizaremos el mismo procedimiento de la regla anterior; Decisin (accin) que para este caso ser en ACCEPT (ACEPTAR); en Origen que para este caso es la Red DMZ, desplegamos las opciones y seleccionaremos Red_lan, en Destino seleccionamos Cualquiera y en Servicio pondremos ANY para que esta red pueda acceder a cualquier servicio en la red externa (WAN), en la Descripcin ponemos un breve mensaje para identificar la regla y damos clic en Aadir.

A continuacin podemos observar las dos reglas con sus respectivos parmetros, damos clic en la opcin Guardar que parece en la parte superior para que los cambios tomen efecto.

7.3.6

PRUEBAS DE ACCESO A INTERNET

Ahora vamos a probar que efectivamente las reglas estn funcionando, para ello estaado en cada una de las maquinas ingresamos a la consola y con el comando nslookup resolvemos a GOOGLE e ingresamos al navegador Web para comprobar que tiene conexin a Internet, como se muestra en la imagen. RED LAN

 RED DMZ

8.

REDIRECCIN DE PUERTOS REGLAS DE NATEO

La Redireccin de Puertos, nos permitir acceder desde una red externa (WAN) a los servicios publicados en la RED DMZ, es decir, se hace una traduccin de direcciones IP (NAT) ya que desde la red pblica ingresamos a los servicios por medio de la direccin IP pblica que tiene el Firewall en la interfaz WAN (eth2) y si tiene permitida la peticin inmediatamente lo redireccionar al servidor (192.68.150.18) en donde estas los servicio de red. Para hacer estas reglas de NATEO, nos dirigimos a Cortafuegos - Redirecciones de puertos, estando all damos clic en Aadir nuevo para agregar la primera regla.

PERMITIR WEB (HTTP) Estando aqu debemos configurar la Interfaz donde se recibe el trfico sobre el que se va a hacer la traduccin (eth2), el Destino original (que puede ser el servidor Zentyal, una direccin IP o un objeto) que para este caso ser un Objeto (Red_wan), el Puerto de destino original (que puede ser Cualquiera, un Puerto determinado o un Rango de puertos) que debe ser Puerto nico (80), el Protocolo (TCP) y el Origen (Cualquiera). Adems estableceremos la direccin IP de Destino (192.168.150.18) y finalmente, el Puerto donde la mquina destino recibir las peticiones, que puede ser el mismo que el original o no (mismo). Existe tambin un campo opcional de Descripcin para aclarar el propsito de la regla y damos clic en Aadir.

 PERMITIR DNS Ahora, para aadir el servicio DNS, realizaremos el mismo procedimiento que el anterior y por ultimo damos clic en Aadir (recordemos que para este caso el DNS debe utilizar ambos protocolos (TCP/UDP)).

 PERMITIR SMTP Despus aadiremos el servicio SMTP (Protocolo Simple de Transferencia de Correo), realizando el mismo procedimiento y por ultimo damos clic en Aadir.

PERMITIR FTP Editamos los mismos parmetros, excepto que para este servicio habr un rango de puertos (20 21) para su funcionamiento, damos clic en Aadir.

NOTA: Para agregar ms servicios debemos llevar a cabo el mismo procedimiento teniendo en cuenta las caractersticas del mismo y configurar segn sean nuestras necesidades en el ambiente de red. En las siguientes dos imgenes podremos visualizar todos los servicios que hemos agregado al sistema, para que los cambios tomen efecto debemos dar clic en la opcin Guardar que aparece en la parte superior de la pantalla.

Inmediatamente aparece un mensaje en el cual nos indican que hemos hecho cambios en el sistema de Zentyal y por consiguiente debemos guardarlos, damos clic en la opcin Guardar y despus nos dice que los cambios han sido guardados.

9.1 PRUEBAS REGLAS DE NATEO Para probar estas reglas de NATEO, vamos a acceder a los servicios que tenemos publicados en la RED DMZ (192.168.150.18) desde la RED WAN, es decir, desde una maquina que se encuentre dentro del rango de direccionamiento IP 192.168.10.0/24, podemos hacer las pruebas; recordemos que a estos servicios solo podemos ingresar con la direccion IP publica que tiene Zentyal en la interfaz de red conectada a la red externa (eth2) y como podemos ver en las siguientes imegenes, el acceso a todos los servicios es permitido desde una red publica hacia una red privada. SERVICIO WEB (HTTP HTTPS (Protocolo Seguro de Transferencia de Hipertexto))

SERVICIO FTP (Protocolo de Transferencia de Archivos)

Para conectarnos a este servicio, debemos autenticarnos con un USURIO y una CONTRASEA que para este caso es sena.

SERVICIO DNS (Sistema de Nombres de Dominio)

Para probar este servicio, lo haremos con el comando nslookup y antes de resolver nuestro servidor DNS privado debemos ponerlo como servidor en la lnea de comando (server + direccin IP publica), despus pasamos a resolver los dominios correspondientes.

SERVICIO SMTP (Protocolo Simple de Transferencia de Correo)

Para acceder a este servicio, tambin debemos ingresar a una consola de lnea de comandos e implementamos el servicio de Telnet (TELecommunication NETwork) que es un protocolo de red que sirve para acceder mediante una red a otra mquina remota. Digitamos el comando telnet + nombre del servidor + numero de puerto del servicio al cual se quiere probar, que para este caso ser 192.168.10.200 y vemos que efectivamente el servidor da respuesta a la peticin.

SERVICIO POP3 (Protocolo de la Oficina de Correo)

Para el acceso a este servicio tambin lo haremos por medio de Telnet.

SERVICIO IMAP (Internet Message Access Protocol)

Para el acceso a este servicio tambin lo haremos por medio de Telnet.

SERVICIO SSH (intrprete de rdenes segura)

Desde la consola de lnea de comandos ejecutamos el comando ssh X root@192.168.10.200 para conectarnos remotamente a la maquina y debemos digitar la contrasea de la maquina DMZ.

9.

VOCABULARIO

ZENTYAL: Es un servidor de red unificado de cdigo abierto (Plataforma de red unificada) para las PYMEs (Pequeas y medianas empresas) el cual puede actuar gestionando la infraestructura de red, como puerta de enlace a Internet (Gateway), gestionando las amenazas de seguridad a partir de la configuracin de Soluciones Perimetrales (Firewall, Proxy, VPNs e IDS)), como servidor de oficina, como servidor de comunicaciones unificadas o una combinacin de estas. Adems, Zentyal incluye un marco de desarrollo (Framework) para facilitar el desarrollo de nuevos servicios basados en Unix. FIREWALL: Es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a informacin confidencial. Es una parte de un sistema o una red que est diseado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los Firewalls cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs de los cortafuegos, que examina cada mensaje y bloque a aquellos que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar el cortafuego a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. ZONA DESMILITARIZADA (DMZ): Es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos situados en la zona desmilitarizada. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de correo electrnico, Web y DNS, entre otros. SEGURIDAD PERIMETRAL: La seguridad perimetral se basa en la proteccin de todo el sistema informtico de una empresa desde fuera, es decir, proteger todo lo que rodea nuestra empresa de amenazas tales como virus, gusanos, troyanos, ataques de denegacin de servicio, robo o destruccin de datos, hackeo de pginas web corporativas. La Evaluacin Tcnica de Seguridad Perimetral protege frontera entre la red interna de la organizacin y el resto de Internet. Permite valorar el grado de seguridad del sistema

externo de la empresa y crea conciencia sobre el riesgo de la obtencin de informacin que comprometa la privacidad de la empresa. NAT: (Network Address Translation - Traduccin de Direccin de Red), es un mecanismo utilizado por enrutadores IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. Tambin es necesario editar los paquetes para permitir la operacin de protocolos que incluyen informacin de direcciones dentro de la conversacin del protocolo. Su uso ms comn es permitir utilizar direcciones privadas para acceder a Internet. UTM: (Gestin Unificada de Amenazas), se utiliza para describir los cortafuegos de red que engloban mltiples funcionalidades en una misma mquina. Algunas de las funcionalidades que puede incluir son las siguientes: UDP - VPN - Antispam - Antiphishing Antispyware - Filtro de contenidos - Antivirus - Deteccin/Prevencin de Intrusos (IDS/IPS).

CONCLUSIONES Un FIREWALL es un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Para permitir o denegar una comunicacin el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo, el servicio de correo electrnico, entre otros; tambin puede examinar un puerto o una determinada direccin IP. ZENTYAL se desarroll con el objetivo de acercar Linux a las pequeas y medianas; es la alternativa en cdigo abierto basado en la distribucin UBUNTU. Zentyal permite a profesionales TIC (tecnologas de la informacin y la comunicacin) administrar todos los servicios de una red informtica, tales como el acceso a Internet, la seguridad de la red, la comparticin de recursos, la infraestructura de la red o las comunicaciones a travs de una nica plataforma. Con la realizacin de esta implementacin de seguridad se logro identificar cual es la importancia de tener un sistema de seguridad como un Firewall que brinde seguridad y confianza a todas las redes pertenecientes; es importante resaltar que existen mltiples distribuciones como Zentyal que permiten administrar de una forma segura todo un sistema de informacin ya sea en redes pblicas o privadas.

BIBLIOGRAFIA

o http://doc.zentyal.org/es/ o http://doc.zentyal.org/en/firewall.html o http://es.wikipedia.org/wiki/Zentyal o http://cursos.redsena.net o http://www.taringa.net/posts/linux/8461292/Manual-completo-Instalacion-de-Zentyal-Firewall5-parte.html