Caractersticas

La primera vez que ingresamos a la pgina privada, Endian nos recibe con un asistente que configurar el resto de los parmetros. El ms importante es sin lugar a dudas el que involucra a la interfaz "roja", la que est del lado inseguro del firewall, expuesta a la red. Lo ms lgico es que se trate de una tarjeta de red adicional, pero hay opciones para configurar un mdem telefnico en caso de ser necesario. Despus del asistente, el usuario podr realizar las modificaciones necesarias para adaptar el firewall a su entorno de red. Aquellos puertos que deban ser abiertos pueden especificarse en la seccin "Port Forwarding", mientras que tambin pueden aplicarse reglas especiales para limitar o restringir la transmisin de datos.

El inicio del asistente de configuracin

Puedes especificar reglas adicionales o cambiar las ya existentes

Otra opcin importante es la del web proxy, que ir descargando informacin de la red para presentarla al usuario de forma ms rpida (las redes locales internas son ms veloces que las conexiones promedio de banda ancha), y el sistema de deteccin de intrusos basado en Snort. A pesar de haber usado IPCop durante un buen tiempo, debo reconocer que la forma de manejar las actualizaciones de Snort que posee Endian es sencillamente fabulosa. Puedes actualizar la lista de patrones automticamente, o en caso de ser necesario, puedes descargar el archivo y actualizarlo manualmente. Como adicin, Endian Firewall cuenta con soporte para antivirus (basado en el antivirus Clam de cdigo abierto) y un sistema de deteccin de spam (que segn Endian debe ser entrenado a travs de un servidor IMAP).

-Mejorar la distribucin de su red implementando zonas (WAN, LAN, WiFi, DMZ), moldeo de trfico y soporte VoIP. -Incluye paquete dinmico de firewall para la seguridad de su red, deteccin de intrusiones, deteccin de escaneo de puertos, entre otros. -Distribuye la carga de datos.

-Hacer comunicaciones seguras con otras sedes o clientes remotos a travs de VPN . -Antivirus y filtrado de contenido para un acceso a internet ms seguro. -Manejo de proxy. -Enrutamiento. -Antivirus y Antispam para el correo electrnico. -Alta disponibilidad. -Manejo de redes inalmbricas seguras, con posibilidad de suministrar tickets de acceso. -Su administracin es por via web. Despus de haber esperado los 20 segundos, nos pide el usuario y contrasea para acceder a la herramienta de endian.

Esta es la herramienta, lista para administrarla. Pestaa System Network configuration Nos permite el rediseo de nuestro entorno de red. Event notifications Ofrece la posibilidad de configurar los eventos de notificacin, mtodo, etc. Passwords Disponible para si en algn momento deseamos cambiar las credenciales de autenticacin. SSH access Opcionalmente podemos habilitar el servicio de SSH para la administracin remota por medio de la CLI. GUI settings Men disponible el cual nos permite cambiar el idioma de la GUI de administracin web. Backup Seccin en la pestaa System la cual nos permite realizar copias de seguridad a la configuracin en ejecucin e igualmente regresar a un estado previo. Shutdown Ofrece dos botones apartir de los cuales podemos reiniciar o apagar el servidor Endian.

Pestaa Status

Disponible para ver el estado, estadsticas de muchos de los componentes que integran el servidor Endian como puede ser, uso del disco, memoria, Proxy, Red, estado de los servicios de red disponibles desde el servidor Endia, etc. Pestaa Servicios Esta parte de nuestro servidor Endian nos ofrece la posibilidad de configurara servicios de red como DHCP, DNS Dinmico, Servidor NTP, QoS, y as permitindonos una mejor y cmoda administracin de nuestras zonas. Pestaa Firewall Esta es la seccin donde aplicaremos o mejor plasmaremos las polticas de la organizacin y as permitir o denegar ciertos servicios, igualmente la tecnologa de NAT, FOWARD. Pestaa Proxy Nos da la posibilidad de configurar servidores proxy para diferentes servicos como, HTTP, FTP, DNS, entre otros. En esta parte se hace las configuraciones pertinentes como son el tipo de puerto a usar por el proxy, el tipo de idioma a utilizar, un correo el cual sera el del administrador, no hay que olvidar que antes de esto hay que habilitar el proxy y el acceso a la web mediante la funcin de HTTP y su respectiva configuracion. Tambin permitimos los puertos necesarios para el cliente, este proceso debemos hacerlo en conjunto con lo que queremos que realice nuestro cortafuegos, en nuestro caso filtrar contenido web. Luego damos en la misma pestaa (Autenticacion)hecho este paso damos en Administrar Grupos y creamos un grupo para el usuario previamente creado (prominelltda), se crea un grupo por la facilidad de crear reglas y aplicarlas a todos los usuarios pertenecientes al grupo en este caso el grupo se llamara (departamento) y damos en crear grupo. Para que nuestro Servicio proxy coja las configuraciones damos aplicar, hecho este paso procedemos a crear los Filtros para esto le damos en la pestaa Contenfilter. Una vez que damos click en Contenfilter y crear perfil, se nos depliega este menu en el cual le damos un nombre al Filtro que sera (Contenido) , luego nos dice que podemos filtrar paginas cuyos frases contengan ya sea pornografia, Audio Citas, etc. Se escogen las frases que se quieran filtrar. Esta segunda Opcin nos dice que podemos Filtrar las paginas con categora ya sea Audio, Anuncios, Chat, se escoge el contenido que quiere filtar pueden ser los mismo que has escogido anterior mente. En esta tercera Opcin no deja Tanto permitir como bloquear las Paginas que queremos, en este caso bloqueare ( facebook, youtube, hotmail ) Echo este paso procederemos a Actualizar Perfil. Damos Actualizar Perfil, para que nuestro servidor proxy tome las configuraciones echas, echo este proceso nos vamos a crear las polticas de acceso para ello damos clic en la pestaa Poltica de Acceso. Una vez damos clic en Poltica de acceso, damos clic en Agregar poltica de acceso y nos lanza esta Wizard. Colocamos que la fuente sea cualquiera igualmente hacemos con el tipo de destino esto se hace por que queremos que cualquier PC se pueda pegar al proxy siempre y cuando tenga la contrasea, en autenticacin seleccionamos Group Based nos aparecer el grupo creado anteriormente lo seleccionamos, luego nos aparece esto... En este proceso dejamos los primeros campos as osea (Por Defecto), ahora en poltica de acceso damos Permitir Acceso y seleccionamos el nombre del filtro creado anteriormente el cual se llama (Contenido), y lo ponemos en la primera posicin. Amigos antes de este paso hay que agregarle la direccin de nuestro Servidor Proxy, en este navegador se hace la configuracion: editando, dando preferencias, avanzada, seleccionamos la red Red configuramos el proxy manualmente agregando su direccion direccin (del proxy) y

el puerto asignado. Con estos pasos procedemos a probar si efectivamente nuestro servidor proxy esta en optimas condiciones de funcionamiento. Al bloquear la web (www.hotmail.com) este no responde debido a que cuando estbamos configurando el filtro, la bloqueamos; eficazmente nuestro proxy ha funcionando por lo que vamos a probar con otras paginas WEB's bloqueadas. Como vemos otra pagina bloqueada era (www.youtube.com) vemos que la regla de filtrado hace su trabajo correctamente puesto que no nos deja ingresar a youtube, por ultimo probaremos la ultima pagina bloqueada. Por mas que intentemos ingresar a (www.facebook.com) no nos dejara, esta es la forma en que nos cercioramos de que nuestro servidor proxy esta en correcto funcionamiento, y como lo vieron esto es un servidor proxy en Endian. Pestaa VPN Servicio disponible el cual nos permite habilitar el acceso remoto a clientes desde internet hacia nuestra red local soportada en conexiones seguras. Bueno entonces la mayor parte del tiempo lo estaremos en la pestaa firewall. Reglas de Sistema En este apartado comprobaremos conectividad a nivel de capa 3 hablando del modelo OSI. Del host de la red interna cuya ip es 172.16.1.1/24 hacia cualquier parte. Observamos que podemos hacer una peticin de echo ICMP a cualquier red, esto es porque por defecto el endian viene con reglas predefinidas (reglas del sistema), el NAT nos permite llegar. Esta regla nos permite traducir cualquier direccin ip de origen (SNAT).

Estas reglas por defecto en Ougoing traffic permite los servicios comunes, como son HTTP, HTTPS, DNS, ICMP. Estas reglas se aplican como podemos observar solo al origen que provenga de GREEN (Interna), BLUE (Wireless). Finalmente la regla de sistema permite desde cualquier parte hacia RED (Internet) la solicitud de echo ICMP. Las reglas por defecto en Inter-Zone Traffic permiten cualquier trfico desde la zona GREEN (Interna) hacia ORANGE (DMZ) y BLUE (Wireless), pero no desde la DMZ hacia la zona Interna. Las reglas de sistema para System access define que cualquier origen que entre a la interface GREEN, ORANGE, BLUE o sea trfico que valla para el Endian se permiten siempre y cuando vallan para los siguientes servicios: DNS. ICMP. NTP. HTTP. Publicar los servicios de HTTP y FTP en internet Para la realizacin de la publicacin de estos servicios solo basta con realizar un DNAT para esos servicios, entonces nos vamos para la pestaa FIREWALL > submen Port forwarding / NAT y a subes a Port forwarding / Destination NAT. En esta captura observamos la realizacin del DNAT, le indicamos que si un paquete llega especficamente para la ip 192.168.1.253 por la capa de transporte y su protocolo TCP con el puerto de destino 80 cambie la ip de destino a 172.16.2.253 e igualmente el puerto 80. Aplicamos la configuracin y con eso esta nuestro servicio publicado. Para la publicacin del servicio de FTP igualmente es el mismo proceso. Opcional habilitamos el log para esa DNAT y un etiquetado el cual nos indique que realiza esa DNAT o mejor el objetivo del DNAT. Finalmente permitimos conexiones a HTTP para permitir que los equipos Linux se puedan actualizar.