Escolar Documentos
Profissional Documentos
Cultura Documentos
GRUPO “MiNdWiDe”
JUAN ALEJANDRO BEDOYA
JOSE DE ARLEX DOMINGUEZ
NEIFER ERNEY GIRALDO
JHON FREDY HERRERA
YOJAN LEANDRO USME
Mauricio Ortiz
INDICE
Introducción ......................................................................................................................... 3
Objetivo ............................................................................................................................... 3
Topología de red ................................................................................................................... 4
Tabla de direccionamiento .................................................................................................... 5
Configuración del Firewall ..................................................................................................... 6
Requisitos de Endian.................................................................................................................................. 6
Creando nuestra VM .................................................................................................................................. 7
Instalación de Endian ............................................................................................................................... 11
Configuración inicial de Endian Firewall .................................................................................................. 15
Pestaña System ........................................................................................................................................ 20
Network configuration ........................................................................................................................ 20
Event notifications ............................................................................................................................... 20
Passwords ............................................................................................................................................ 20
SSH access ........................................................................................................................................... 20
GUI settings ......................................................................................................................................... 20
Backup ................................................................................................................................................. 20
Shutdown ............................................................................................................................................ 20
Pestaña Status ......................................................................................................................................... 20
Pestaña Servicios ..................................................................................................................................... 21
Pestaña Firewall ....................................................................................................................................... 21
Pestaña Proxy .......................................................................................................................................... 21
Pestaña VPN............................................................................................................................................. 21
Reglas de Sistema .................................................................................................................................... 22
Publicar los servicios de HTTP y FTP en internet ..................................................................................... 25
Conclusiones....................................................................................................................... 29
Bibliografía ......................................................................................................................... 29
MiNdWiDe - Group 2
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Introducción
Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para
bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se
trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, las características de cifrado y descifrado se permiten en un firewall agregando
funcionalidades al mismo convirtiéndose así en una solución más robusta y efectiva. Esta serie de
atributos o comportamientos se aplican al tráfico tanto entrante como saliente entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Estas características permiten a las organizaciones protección contra todo tipo de amenazas
provenientes de internet y a su vez permite realizar sus tareas comunes con cierto grado de
tranquilidad.
Objetivo
MiNdWiDe - Group 3
Topología de red
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Tabla de direccionamiento
Mascara de Gateway
Dispositivo Interfaz Direccion IP
subred predeterminada
ISP Fa1/0 192.168.1.254 255.255.255.0 NO APLICABLE
VMNet2 172.16.1.254 255.255.255.0 NO APLICABLE
VMNet3 172.16.2.254 255.255.255.0 NO APLICABLE
Endian-FW
Bridge 192.168.1.253 255.255.255.0 192.168.1.254
MiNdWiDe - Group 5
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Requisitos de Endian
MiNdWiDe - Group 6
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Creando nuestra VM
Muy bien teniendo presente estos requisitos de hardware y de software procederemos a crear
nuestra VM en VMWare Workstation, a continuación presentaremos los Screenshot
correspondientes a la realización de dicha tarea.
Teniendo el aplicativo VMWare Workstation abierto nos vamos por File > New > Virtual Machine
o con la combinación de teclas CTRL + N, esto nos permitirá iniciar el asistente de creación de VM
y nos saldrá la siguiente ventana, siguiendo así el asistente.
MiNdWiDe - Group 7
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
MiNdWiDe - Group 8
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
MiNdWiDe - Group 9
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Nota: nuestra VM final quedaría así es importante el orden de las tarjetas de red para que nuestro
Firewall funcione correctamente, primero VMnet2, VMnet3, y por ultimo Bridged.
MiNdWiDe - Group 10
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Instalación de Endian
En este punto suponemos que ya hemos descargado la ISO, el cual contiene todos los
componentes que proporcionan la solución integrada de Endian, si no es así podemos descargarla
de la URL: http://www.endian.com en ella igualmente se encontrara documentación para su
implementación.
Paquete de software para la instalación e implementación de Endian – Firewall, esta ISO pesa
aproximadamente 150 MB.
MiNdWiDe - Group 11
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Este es el primer pantallazo que nos ofrecerá el asistente de instalación de Endian, a continuación
nos ofrecerá seleccionar el idioma, características de partición para el disco duro.
MiNdWiDe - Group 12
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Este apartado nos permite configurar el Stack TCP/IP para la interface GREEN (Interface de
confianza).
MiNdWiDe - Group 13
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Este pantallazo nos indica que la instalación del EFW a finalizado con éxito y además nos indica
que para acceder a la interface de administración via web debemos digitar en nuestro navegador
favorito la url: http://efw-community or https://efw-community:10443, hay que tener presente
que para que se resuelvan estos nombres de dns debemos tener configurado en el equipo que
realizaremos la administración los servidores DNS que apunten hacia la ip del Endian en nuestro
caso es lo siguiente:
MiNdWiDe - Group 14
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Accediendo con la dirección IP nos ofrecerá el asistente para la configuración inicial de nuestro
firewall como son las zonas Interna, DMZ, Externa.
MiNdWiDe - Group 15
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Nos ofrece la posibilidad de configurar las credenciales tanto para la interface web de
administración y para las conexiones remotas con SSH.
Posteriormente nos inicia el asistente para configurar nuestro entorno de red, en la cual definimos
que tipo de configuración de interface externa tendremos, en nuestro caso seleccionaremos
ETHERNET STATIC.
MiNdWiDe - Group 16
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Como tendremos una DMZ seleccionaremos la interface ORANGE (VMnet3) en nuestra situación.
Luego nos permite configurar las direcciones IPs que tendrán las zonas Interna y DMZ, el hostname
y el dominio.
MiNdWiDe - Group 17
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
En este apartado nos pide que ingresemos la configuración a nivel de ip de la interface Externa
(Bridged).
MiNdWiDe - Group 18
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Y opcionalmente nos ofrece configurar datos del administrador como dirección de correo
electrónico y aplicamos la configuración.
Entonces el usuario es admin para el acceso a la interface web y para ingresar a la CLI es root.
MiNdWiDe - Group 19
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Pestaña System
Network configuration
Nos permite el rediseño de nuestro entorno de red.
Event notifications
Ofrece la posibilidad de configurar los eventos de notificación, método, etc.
Passwords
Disponible para si en algún momento deseamos cambiar las credenciales de autenticación.
SSH access
Opcionalmente podemos habilitar el servicio de SSH para la administración remota por medio de
la CLI.
GUI settings
Menú disponible el cual nos permite cambiar el idioma de la GUI de administración web.
Backup
Sección en la pestaña System la cual nos permite realizar copias de seguridad a la configuración en
ejecución e igualmente regresar a un estado previo.
Shutdown
Ofrece dos botones apartir de los cuales podemos reiniciar o apagar el servidor Endian.
Pestaña Status
Disponible para ver el estado, estadísticas de muchos de los componentes que integran el servidor
Endian como puede ser, uso del disco, memoria, Proxy, Red, estado de los servicios de red
disponibles desde el servidor Endia, etc.
MiNdWiDe - Group 20
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Pestaña Servicios
Esta parte de nuestro servidor Endian nos ofrece la posibilidad de configurara servicios de red
como DHCP, DNS Dinámico, Servidor NTP, QoS, y así permitiéndonos una mejor y cómoda
administración de nuestras zonas.
Pestaña Firewall
Esta es la sección donde aplicaremos o mejor plasmaremos las políticas de la organización y así
permitir o denegar ciertos servicios, igualmente la tecnología de NAT, FOWARD.
Pestaña Proxy
Nos obsequia la posibilidad de configurar servidores proxy para diferentes servicos como, HTTP,
FTP, DNS, entre otros.
Pestaña VPN
Servicio disponible el cual nos permite habilitar el acceso remoto a clientes desde internet hacia
nuestra red local soportada en conexiones seguras.
MiNdWiDe - Group 21
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Reglas de Sistema
En este apartado comprobaremos conectividad a nivel de capa 3 hablando del modelo OSI.
MiNdWiDe - Group 22
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Estas reglas por defecto en Ougoing traffic permite los servicios comunes, como son HTTP, HTTPS,
DNS, ICMP. Estas reglas se aplican como podemos observar solo al origen que provenga de GREEN
(Interna), BLUE (Wireless).
Finalmente la regla de sistema permite desde cualquier parte hacia RED (Internet) la solicitud de
echo ICMP.
MiNdWiDe - Group 23
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Las reglas por defecto en Inter-Zone Traffic permiten cualquier tráfico desde la zona GREEN
(Interna) hacia ORANGE (DMZ) y BLUE (Wireless), pero no desde la DMZ hacia la zona Interna.
Las reglas de sistema para System access define que cualquier origen que entre a la interface
GREEN, ORANGE, BLUE o sea tráfico que valla para el Endian se permiten siempre y cuando vallan
para los siguientes servicios:
DNS.
ICMP.
NTP.
HTTP.
Importante tener presente que no se permite nada que se origine de Internet o sea que entre a la
interface RED a ecepcion de conexiones establecidas desde el interior.
Entonces teniendo claro las reglas por defecto y de sistema procederemos a crear y configurar
nuestras reglas.
MiNdWiDe - Group 24
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Para la realización de la publicación de estos servicios solo basta con realizar un DNAT para esos
servicios, entonces nos vamos para la pestaña FIREWALL > submenú Port forwarding / NAT y a
subes a Port forwarding / Destination NAT.
En esta captura observamos la realización del DNAT, le indicamos que si un paquete llega
específicamente para la ip 192.168.1.253 por la capa de transporte y su protocolo TCP con el
puerto de destino 80 cambie la ip de destino a 172.16.2.253 e igualmente el puerto 80.
MiNdWiDe - Group 25
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Opcional habilitamos el log para esa DNAT y un etiquetado el cual nos indique que realiza esa
DNAT o mejor el objetivo del DNAT.
MiNdWiDe - Group 26
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
MiNdWiDe - Group 27
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
En las dos últimas imágenes observamos que podemos acceder desde internet a los servicios
publicados en la DMZ.
Finalmente permitimos conexiones a HTTP para permitir que los equipos Linux se puedan
actualizar.
MiNdWiDe - Group 28
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Conclusiones
Es una solución community lo cual nos permite su adquisición sin consto alguno.
Su implementación es muy común en empresas medianas y se adapta muy bien a estos entornos.
Se dispone de una comunidad, esto permite u ofrece una amplia fuente de información para su
implementación y solución de inquietudes.
La versión community no tiene las prestaciones que nos puede ofrecer la versión Enterprice.
Bibliografía
http://www.endian.com/es/
MiNdWiDe - Group 29
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Gracias…
Integrantes
Juan Alejandro Bedoya Jose De Arlex Dominguez
Neifer Erney Giraldo Jhon Fredy Herrera
Yojan Leandro Usme
MiNdWiDe - Group 30