CFT JUAN BOHON

CONECTIVIDAD, REDES Y SOPORTE

FIREWALL

Introduccin, Conceptos,
Tipos de Firewall.
Instalacin de ENDIAN.
Versin 1.1 Febrero 2012

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

INTRODUCCION
Uno de los temas ms recurrentes en la actualidad es la seguridad que debe tener
toda red, sistema de comunicacin o aplicaciones e informacin. Un administrador debe
velar por la integridad, estabilidad y disponibilidad de su red, por lo que se debe recurrir a
tcnicas, tecnologa e infraestructura competente para alcanzar buenos niveles de
seguridad.

Cabe destacar que no existe sistema 100% seguro, tampoco impenetrable, ni

perfecto. Grandes organizaciones, unidades gubernamentales, incluso las grandes
empresas de seguridad han sido vctimas de ataques desde los ms simples hasta los ms
complejos donde incluso se tardan aos en descifrar las tcnicas utilizadas.

Otro concepto es que la mayor probabilidad de ataque, robo de informacin,

suplantacin, incluso inhabilitacin total de un sistema viene desde el interior de la misma
red, dado que los usuarios son los que ya son parte de la red, por ende no cuentas con
barreras de seguridad tan complejas como las que se disean para proteger la red desde
el exterior.

En otras palabras, un usuario interno es potencialmente ms peligroso, por ende

no solo se deben tomar medidas externas, tambin se deben enfocar en las internas.

Este documento explica en conceptos tericos lo que es un Firewall, los tipos, su

funcionamiento, lgica de operacin, as como en ambiente prctica, una gua paso a paso
para instalar una plataforma de seguridad basada en Endian.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

FIREWALL
El concepto Firewall, que traducido es Cortafuegos, se asocia al concepto de
seguridad en construccin. En otros trminos, es una barrera slida de proteccin que
permite el fuego u otros agentes externos daen o comprometan la integridad interna de
una edificacin o lugar.

Si llevamos este concepto al mundo de las redes y telecomunicaciones, nuestra

edificacin o lugar seran nuestras redes o sistemas a proteger. Mientras que los agentes
externos seran los atacantes o hackers, aplicaciones dainas tales como virus, gusanos,
troyanos, o tcnicas dainas que intenten lograr que nuestros sistemas logren un mal
desempeo o sufran algn bloqueo. Por lo tanto el Cortafuegos se encarga bajo ciertas
condiciones de diseo (configuracin), permitir que nuestra red est protegida de estos
factores.

Un Firewall no tiene ningn sentido o utilidad si el administrador de la red no

posee los conocimientos bsicos, que incluso deben ser mucho ms elevados. El firewall
no trabaja por s solo, es decir, se le deben provisionar reglas, polticas y diversas
configuraciones para lograr un correcto funcionamiento.

Al momento de implementar un Cortafuegos, el administrador debe tener en

cuenta una gran cantidad de elementos antes de proceder. Es importante conocer el lugar
donde se implementar el firewall, si bien debe ser la primera barrera desde el exterior
hacia el interior, no siempre esta poltica satisface a los administradores, que prefieren
algunos ubicarlo en un segundo plano. Tambin es importante saber qu se desea
proteger, si solo los servidores, o si se desea dejar a los servidores fuera de la zona segura
y solo proteger a los usuarios. Se debe tambin crear una lista de los servicios, protocolos
y aplicaciones que se desean autorizar en la comunicacin hacia el exterior. Se permitirn
que ciertos servicios o aplicaciones sean vistas desde el exterior?, Se permitir el ingreso
de usuarios a la red?, Nuestra red tendr servicios de tipo pblicos tales como Correo,
WEB, entre otros hacia el exterior?.

Sin duda, se ve que se requieren bastantes conocimientos a la hora de

implementar un Cortafuegos.

Los firewalls se caracterizan por estar siempre alertas y en continua revisin de los
eventos que ocurran desde la red, as como hacia la red, por ende se entiende que al estar
siempre atentos requieren una mayor cantidad de recursos, tales como CPU y Memoria,
dado que se requiere analizar minuciosamente cada movimiento que se genere.

As como no existe un sistema completamente seguro, los Cortafuegos tambin

deben ser complementados con otras tcnicas o equipos.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

TIPOS DE FIREWALL
Existen principalmente dos tipos de Cortafuegos, y estos poseen tanto sus ventajas
como desventajas el uno frente al otro.

Firewall basado en Hardware

Es un equipo de condiciones y funcionalidades similares a las de un Router pero se

compone de mdulos de configuracin para control de reglas (ACL), polticas de trfico de
entrada y salida, control de usuarios, filtro de contenido, etc.

Dado que es dispositivo diseado especialmente para filtrar trfico, son

potenciados principalmente a nivel de CPU y memoria, dado que cada paquete que
ingresa al firewall debe ser analizado y tratado segn las polticas y reglas programadas.

Una de las principales ventajas es dado que se basa en Hardware, las prestaciones
que ofrece son altsimas, dado que operan con rapidez y fluidez a la hora de filtrar
paquetes. Otra ventaja es que al ser por Hardware, el proveedor est constantemente
realizando actualizaciones y mejoras al software que compone el firewall, por lo tanto se
asegura un correcto funcionamiento.

Su principal desventaja es el alto costo en comparacin con el firewall basado

Software, dado que al adquirir un firewall por Hardware se est comprando perifricos y
dispositivos de alto rendimiento. Adems existen algunas versiones de firewall que
operan en modalidad de Licencias, es decir, segn la cantidad de usuarios que deseemos
operar en nuestra red detrs del firewall, es la cantidad de licencias que debemos
adquirir, que de paso son de costo medio/alto.

Dentro de los firewall por Hardware

conocidos encontramos la marca
WatchGuard, como el modelo que muestra
la imagen XTM 250, con una tasa de
inspeccin de hasta 20Gbps.

Una marca conocida tambin es Cisco,

con el modelo ASA 5510, que permite
hasta 50.000 conexiones simultneas,
es considerado de mediano
rendimiento, dado que el modelo ASA
5585 SSP60 posee un procesador Intel
de 24 ncleos y 24GB de RAM, permite
10.000.000 de conexiones al instante.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Firewall basado en Software

Una solucin de firewall basada en Software es un conjunto de aplicaciones que

monta un mini sistema operativo para hacer iniciar el cortafuego, donde gracias a
mdulos de configuracin es posible gestionar las reglas y polticas de seguridad.

La mayora de estas soluciones se basan en sistemas operativos de familia UNIX o

LINUX, siendo este ltimo el ms utilizado por su gran compatibilidad y bajo
requerimiento de recursos.

Una de las principales ventajas es que es posible crear un potente cortafuego con
equipos antiguos. Hay experiencias de administradores que han creado firewall para 5.000
usuarios utilizando computadores con CPU Intel 486DX4, 32MB de RAM y un disco duro
de 500MB.

En Internet es posible encontrar tablas comparativas de los perifricos y

prestaciones de los firewall por Hardware y si llevamos estas configuraciones a Software,
es posible lograr un firewall de gran prestacin con un computador de buenas
caractersticas. A modo de ejemplo, el modelo Cisco ASA 5550 tiene un microprocesador
Intel Pentium 4 de 3GHz, 4GB de RAM y logra prestaciones para 650.000 conexiones
simultneas.

Una de las desventajas a la hora de elegir una opcin de firewall por Software es
que muchos de las versiones conocidas, son de cdigo abierto, por lo tanto no existe un
soporte constante o comercial detrs, lo que implica depender de actualizaciones
constantemente.

Dentro de los firewall basados en Software, encontramos aplicaciones para

proteger un equipo, como por ejemplo McAfee Personal Firewall, ESET Smart Security y
Symantec Internet Security.

Pero existen versiones para proteger un conglomerado completo como es una red,
con sus respectivos servidores, servicios, aplicaciones y usuarios. Una de las versiones
conocidas y de alta prestacin es pfSense, una distribucin gratuita basada en FreeBSD.
Otra versin gratuita y de excelente prestacin es Endian, basada en IPCop, que incluye
seguridad en L2, L3, L4 y Filtro de Contenido, adems de prestaciones VPN y HotSpots.
Cabe destacar que Endian posee ambas lneas de firewall, es decir comercializa
cortafuegos por Hardware y Software, siendo este ltimo gratuito.

La solucin firewall a trabajar en este curso se basa en Endian, la gua prctica de

este documento le permitir instalar y configurar los parmetros bsicos de conectividad
de dicho cortafuegos.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

FUNCIONAMIENTO DE UN FIREWALL
Independiente al tipo de firewall que se implemente, su estructura y lgica de
trabajo es la misma. Haciendo nuevamente una comparacin, en ambos caso se depende
de una aplicacin, de un microprocesador y de la memoria para recibir y analizar el trfico.

Cada paquete que ingresa al firewall es analizado minuciosamente, es decir, se

mira su cabecera y sus datos. Una vez que se leen los campos, esta informacin es
revisada en cada regla y poltica implementada. Si el paquete no cumple alguna de las
condiciones especificadas, dicho paquete es descartado y no puede continuar su camino.
En caso de que el paquete cumpla todas las condiciones planteadas, finalmente podr
seguir su camino.

Para lograr un correcto funcionamiento, las reglas y polticas poseen una

estructura que si bien es estricta, a la vez es flexible. Dichas sentencias se basan en una
gramtica especial, donde as cuando se componen frases utilizando sujeto, verbo y
predicado, en este caso cumple la misma condicin.

Entender la lgica de trabajo de un firewall es simple, las reglas y polticas deben

tener acciones o verbos, en este caso permitir y denegar. Los sujetos si bien son los
paquetes, se identifican mediante las direcciones IP y puertos de origen/destino, es decir,
de donde vienen y su destino final. El predicado especifica los servicios o protocolos.

A modo de ejemplo, Juanito no puede ir al parque, Entendemos que Juanito es el

sujeto, no puede ir es una forma verbal y al parque es un predicado. Si esta frase la
aplicramos a la gramtica y lgica del firewall sera 192.168.0.10 o la IP de origen
(Juanito), RECHAZAR o la accin (no puede ir) y FTP o predicado (al parque). En resumen,
la direccin IP de origen 192.168.0.10 no puede acceder a los servicios FTP.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Si bien las acciones bsicas de un firewall son PERMITIR y DENEGAR, se

estandarizan las acciones de la siguiente forma:

ACCEPT (Aceptar Permitir)

Permite que el paquete pase a travs del firewall.

DROP (Denegar)

Deniega los paquetes y corta la comunicacin.

REJECT (Rechazar)

Deniega los paquetes pero da aviso al host de origen que el paquete fue negado.

En cuando a la identificacin, es posible realizar a nivel de Capa 2 (Enlace), Capa 3

(Red) y Capa 4 (Transporte).

Capa 2 (Enlace)

Es posible analizar y tomar decisiones en base a la Direccin MAC de origen y/o

destino.

Capa 3 (Red)

Es posible analizar y decidir sobre la informacin de Direccin IP de origen y/o

destino. Actualmente es posible filtrar trfico en base a IPv4 e IPv6.

Capa 4 (Transporte)

Se verifica la informacin de protocolo UDP o TCP y su nmero de puerto tanto de

origen como de destino.

El siguiente ejemplo muestra dos reglas de firewall

IP ORIGEN 192.168.1.15 IP DESTINO * PUERTO DESTINO 80 PERMITIR

Permite que el equipo 192.168.1.15 pueda acceder a cualquier Servidor WEB.

IP ORIGEN * IP DESTINO * PUERTO DESTINO 22 DENEGAR

Niega la comunicacin al exterior del servicio SSH a cualquier equipo de la red interna.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

TIPS DE SEGURIDAD
Dado que el firewall es la columna vertebral de la seguridad en una red, es
importante que Ud. tenga en cuenta los siguientes detalles

Contraseas

Si bien es difcil que un firewall le permita mantener contraseas en blanco para su

administracin, se recomienda utilizar contraseas de alta complejidad. Utilice
combinaciones de alfanumricas, maysculas/minsculas y smbolos permitidos. No
utilice claves obvias como su nombre, alguna fecha, el nombre de sus hijos, mascota,
existen tcnicas de robo basadas en ingeniera social y sin darse cuenta Ud. podra
entregar contraseas sin darse cuenta. Tampoco utilice contraseas numricas comunes
tales como 123, 123123, 123456, 1234. Nunca anote las contraseas en lugares visibles ni
de fcil acceso.

Ubicacin

La disposicin fsica de un firewall debe ser estratgica, en un lugar protegido en

todo sentido, es decir, en un sitio de acceso restringido. Considere adems un lugar de
buenas condiciones climticas y protegido contra desastres y robos.

Acceso

Nunca deje la consola o pgina de administracin del firewall abierta. Recuerde

que los usuarios de su propia red tambin deben ser considerados una amenaza.

Planificacin

Antes de que la red opere bajo la tutela del firewall, realice un estudio de la
topologa de la red, las aplicaciones que necesite que se ejecuten sin restriccin, as como
las que deben ser restringidas. Organice a los usuarios segn ciertas polticas, esto le
permitir realizar un correcto filtro de los datos. Estudie e implemente una lista de los
servicios y protocolos que realmente se necesitan para trabajar en la red. Una correcta
planificacin incluso puede ahorrar un recurso tan preciado en toda red como lo es el
Ancho de Banda.

Servidores

Si existen servidores dentro de la red que Ud. debe proteger, cree reglas especiales
para esto. Si existen servidores dentro de la red que Ud. desea que sean visibles desde el
exterior, analice los servicios que se ejecutan y cree las polticas correctas. Es posible
tambin utilizar zonas de tipo DMZ.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

INSTALACION DE ENDIAN
Endian es una distribucin basada en LINUX, de alta prestacin y exige pocos
recursos de harware. Requiere un procesador de un mnimo de 500MHz, 256MB de RAM,
4GB de disco duro y tarjetas de red. Segn las prestaciones, cantidad de usuarios y
servicios a filtrar, el administrador puede implementar una mejor plataforma. Se
recomienda un microprocesador de 1GHZ, 1GB de RAM, 20GB de disco duro.

El ISO es posible descargarlo desde www.endian.com, hasta la fecha la versin ms

actualizada es 2.5.1 y tiene un tamao de aproximadamente 190MB. Si es primera vez que
utilizar ENDIAN, puede virtualizar una instalacin para probar su funcionamiento y
caractersticas.

La instalacin cuenta de tres etapas, la primera es la instalacin del firewall, la

segunda es la configuracin y la tercera son las pruebas finales de conectividad.

Fase 1 - Instalacin

Pantalla de Inicio

Presionar ENTER para comenzar la instalacin.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Detalles de reconocimiento de Hardware (Discos, Perifricos, CPU, Memoria)

Seleccin de Idioma de instalacin

Seleccionar el idioma adecuado y aceptar en OK.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Pantalla de Bienvenida

Confirmacin de Formateo de Particin o Disco (Se perdern todos los datos)

Seleccione YES y aceptar en OK.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Habilitacin de Consola en Puerto Serial (si es que existe o no)

Seleccionamos NO y aceptar en OK.

Comienza la copia de archivos

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Configuracin Direccin IP para interfaz GREEN (LAN)

Ingresar la direccin IP 192.168.0.1, la mscara de red 255.255.255.0 y aceptar en OK.

Mensaje de finalizacin de instalacin

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Fase 2 - Configuracin

Pantalla de Inicio (Aparece la direccin IP configurada y el puerto de acceso)

Ingresamos al navegador con la direccin especificada en la pantalla de inicio

https://192.168.0.1:10443

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Seleccin de Idioma y Zona Horaria

Seleccionamos Espaol y Amrica/Santiago.

Acuerdo de Licencia

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Restauracin de Respaldo

Seleccionamos la opcin NO y continuamos.

Ingresamos la contrasea de admin (Administracin WEB) y root (Administracin Shell)

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Seleccin de tipo de Interfaz ROJA (WAN)

Seleccin de Multizonas (DMZ y WiFi)

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Configuracin de parmetros LAN

Confirmamos la direccin IP y mscara LAN, asignamos nombre y dominio al firewall.

Seleccin de Interfaz ROJA (WAN)

Seleccionamos la interfaz externa (WAN) y configuramos DNS segn sea necesario.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Comprobacin de configuracin DNS

Verificamos la opcin de configuracin.

Datos de Contacto del Administrador

Ingresamos la informacin del administrador.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Fin de Configuracin y Aplicacin de cambios

Seleccionamos Aceptar, Aplicar Configuracin

Espera de aplicacin de cambios

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Inicio de Sesin

Accedemos con los datos de admin y contraseas ingresados anteriormente.

Men inicial

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Fase 3 Pruebas de Conectividad

Una vez finalizada la configuracin del firewall, debemos realizar algunas pruebas
de conectividad local para asegurarnos en primera instancia que el firewall es visible
dentro de la red.

Verificamos que el firewall es visible a nivel de Capa 2, para esto ejecutamos el

comando arp a, luego ejecutamos el comando ping 192.168.0.1 para verificar
conectividad en Capa 3.

Verificamos la conectividad WAN, es decir, hacia el exterior, en este caso

ejecutamos el comando ping 200.1.123.4 direccin IP perteneciente a NIC Chile.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz
CFT JUAN BOHON
CONECTIVIDAD, REDES Y SOPORTE

Procedemos a verificar la configuracin DNS del equipo, y comprobamos que la

direccin IP del DNS sea el mismo firewall.

Finalmente ejecutamos el comando ping www.yahoo.com y verificamos que el

host se resuelva.

Asignatura Taller de Firewall y Proxy

Profesor Pablo Pea Muoz