viernes, 25 de mayo de 2012

Implementacion de Endian Firewall en Linux


IMPLEMENTACIÓN DE ENDIAN FIREWALL EN LINUX.

INTRODUCCIÓN: 

En este caso vamos a ver como configurar un firewall en una distribución linux llamada endian esta es una herramienta bastante compleja ya que no solo nos permite configurar un firewall sino que también nos da opciones, que salen de la funcionalidad del firewall, como enrutar, implementar un proxy, y tiene opciones para activar funciones de un IPS; Además de ser una herramienta muy completa nos brinda una interfaz web muy amigable, que nos permite administrar y configurar de manera muy fácil.


En este material de trabajo vamos a implementar un firewall donde vamos a definir tres zonas (WAN LAN Y DMZ) donde cada zona sera implementada una maquina virtual diferente, donde la WAN es la maquina real (adaptador puente), la LAN windows xp (red interna) y el DMZ centos (red interna). se establecerán unos servicios en ciertas maquinas como (DNS, HTTP, FTP, etc) donde se establecerán ciertas reglas de acceso controlando el trafico entrante y saliente en las diferentes zonas.

Direccionamiento ip:
WAN: 192.198.10.0
LAN: 192.168.80.0
DMZ: 192.168.90.0

Diagrama de Red.

·   Inicialmente  para el manejo de esta implementacion de firewall en linux (ENDIAN), lo primero que debemos de hacer es iniciar con la instalacion, la cual es muy corta y sencilla. Luego de su respectiva instalación nos dirigimos a un nuevo ordenador e ingrasamos la direccion IP del quipo donde se encuenta ENDIAN en un navegador web y esta es la interfaz de bienvenida que nos muestra. 
Ingresamos el idioma en el que deseamos que nos muestre la interfaz grafica en el navegador para su respectiva configuración seguidamente ingresamos la zona horaria, en este caso (español y América/Bogotá).
       Aceptamos los términos y condiciones del firewall, para poder continuar con la configuración.
·     En esta interfaz nos pide ingresar el password del administrador con el cual ingresaremos de la interfaz web, y tambien nos pide setear el password del usuario root para ingresar por SSH.
          Aquí debemos configurar la interfaz del servidor que se supone debe ir a la WAN, esta sera nombrada como la zona roja, dependiendo de nuestra conexión, en este caso seria ETHERNET STATICO. Y se supone deberiamos tener tres interfaces o mas.
      En esta fase de la configuración debemos elegir la zona verde, la cual sería nuestra red local (Local Area Network) aquí nos pide que seleccionemos la interfaz que deseamos tener para la zona verde, nos pide una dirección ip o un pool de direcciones ip para asignar como Gateway a los clientes de la red local.
De la misma manera configuramos el DMZ, que sería la zona naranja.
En esta parte del proceso estamos configurando la WAN (Wide Area Network), asignándole una dirección ip, el adaptador por donde va a correr el tráfico de la red y la puerta de enlace predeterminada (Gateway). 
Asignamos las direcciones del DNS.
Damos clic en (Aceptar. Aplicar configuración) para que los cambios y las configuraciones planteadas tengan efecto en el servidor como tal.

Este seria el menu principal de la interfaz web de endian, en donde nos muestra unas estadisticas del trafico de red por cada una de las zonas y nos da los recursos usados por el serrvidor ya sea procesador, ram entre otros. Aparte de esto nos muetra un estado de todos los servicios de la red, como DNS, DHCP, WEB entre otros.
En el panel “cortafuegos” ingresamos para configurar la regla del nat la cual nos dara salida internet. En la pestaña “Reenvio de puertos /NAT” entramos y vamos a configuracion de NAT fuente aquí damos en “Agregar nueva regla NAT” y nos aparecen estos campos para poner la configuracion pertinente del NAT.
Debemos configurar la direccion ip de origen osea la zona VERDE que seria la red LAN y la red de destino seria la zona ROJA , o podemos poner una ruta por defetco, despues de terminar de llenar la configuracion guardamos y aplicamos.
Luego de la creación de las reglas, podemos observar que nos arroja una interfaz grafica con una descripción general de las reglas y sobre que direcciones ip que se van a efectuar las respectivas acciones.

Después de aplicar las configuraciones del NAT realizamos una prueba y nos arroja buenos resultados  podemos ingresar a youtube.
En el tráfico entre zonas vamos a configurar las reglas que nos permitirá decir cuales zonas pueden acceder a las otras y las que no tienen ese permiso.
Aquí creamos una nueva regla en donde decimos que la zona VERDE (LAN) puede comunicarse por medio de cualquier protocolo hacia la zona NARANJA (DMZ).
Añadimos la regla y aplicamos la configuración.
En la misma interfaz creamos otra regla en donde ponemos unos parámetros que dicen que la zona NARANJA (DMZ) no se puede comunicar con ningún protocolo hacia la zona VERDE (LAN).
Nos pide que bloqueemos el acceso que va desde la zona ROJA (WAN) hacia la zona VERDE (LAN) para esto configuramos la pestaña de tráfico de entrada. En donde decimos que el trafico de origen de la zona ROJA hacia la zona VERDE.
Aquí están las reglas creadas.
En esta fase del proceso, es necesario configurar el Port forwarding para el re direccionamiento de las direcciones ip, en esta ilustración vemos que si la dirección ip 192.168.10.201 del servicio HTTP por el puerto 80, será re direccionado con la dirección ip 192.168.90.2 por el puerto 80.
De igual forma configuramos también en el Port forwarding para el re direccionamiento de las direcciones ip, en esta ilustración vemos que si la dirección ip 192.168.10.201 del servicio FTP por el puerto 21, será re direccionado con la dirección ip 192.168.90.2 por el puerto 21.

Aquí ya están las reglas del Port forwarding creadas con las respectivas direcciones las cuales va a re direccionar.
Esta imagen nos muestra la interfaz grafica de la dirección ip que fue re direccionada por el Port forwarding  sobre el servicio HTTP.
Esta imagen nos muestra la interfaz grafica de la dirección ip que fue re direccionada por el Port forwarding  sobre el servicio FTP.
Para finalizar se muestra que el re direccionamiento de la dirección ip fue exitoso ya la práctica de firewall funciono correctamente.









Instalación de ISA Server en Windows Server 2003

INSTALACIÓN DE ISA SERVER EN WINDOWS SERVER 2003.

INTRODUCCIÓN:

En este caso vamos a ver como configurar un firewall en una distribución windows llamada  ISA (Internet Securtity and Acceleration) actual mente es la ultima versión. ISA Server 2006 es un gateway integrado de seguridad perimetral que contribuye a la protección del un entorno de TI frente a amenazas procedentes de Internet, y además ofrece a los usuarios un acceso remoto rápido y seguro a sus aplicaciones y datos corporativos. ISA Server 2006 puede utilizarse en tres escenarios principales de uso:  


- Publicación segura de aplicaciones.
Gateway de interconexión para redes de oficinas.
- Protección del acceso a Internet.


En este material de trabajo vamos a implementar un firewall donde vamos a definir tres zonas (WAN LAN Y DMZ) donde cada zona sera implementada una maquina virtual diferente, donde la WAN es la maquina real (adaptador puente), la LAN windows xp (red interna) y el DMZ centos (red interna). se establecerán unos servicios en ciertas maquinas como (DNS, HTTP, FTP, etc) donde se establecerán ciertas reglas de acceso controlando el trafico entrante y saliente en las diferentes zonas.



Direccionamiento ip:
WAN: 192.198.10.0
LAN: 192.168.20.0
DMZ: 192.168.30.0



Diagrama de Red.
Luego de descargarlo de la pagina oficial empezamos la instalación, en esta imagen nos muestra varias opciones, si queremos leer diferente documentación o si lo deseamos instalar en nuestro caso le dimos instalar.
Acá nos dice  que si deseamos instalar el asistente para la instalación de ISA le damos siguiente.
Aceptamos los términos de licencia y siguiente.
Ingresamos los detalles del cliente y el numero de serie..
Le damos el tipo de instalación con que desea instalar ISA.
Seleccionamos el adaptador de red que este asociado con la red que se esta configurando en nuestro caso la LAN.
Acá le damos el rango de dirección ip incluidos en esta red en este caso la de la LAN.
Especificamos los intervalos de direcciones que desea incluir en el servidor ISA.
Acá si deseamos hacer conexión con clientes firewall sin usar cifrado.
Esta es una advertencia que puede pasar durante la instalación de ISA.  
Ya esta listo para instalar, le damos instalar.
En esta imagen se ve que se esta instalando ISA con las características de programa seleccionadas.
Acá ya finalizo el asistente para la instalación correctamente.
Acá vemos la interfaz gráfica de ISA. 

Acá podemos instalar diferentes plantillas según la topología que se requiera.
Aquí se configuran el rango de direcciones ip para la red LAN (Red de área local).
Aquí configuramos a cual zona queremos aplicar la configuración hecha anteriormente donde asignamos el rango de direcciones ip, en esta imagen mostramos el rango de direcciones de la WAN por que para la configuración de la red LAN se aplica automáticamente.
Este seria el rango de direcciones de la zona DMZ, y se seleccionaría de la misma manera que en la imagen anterior.
Configuramos una directiva al servidor ISA para bloquear todos los accesos intentados desde la WAN hacia la red LAN.
Ya aplicamos la configuración de la plantilla posteriormente configurada.
Podemos observar que los cambios quedaron guardados exitosamente.
Ya aplicamos la configuración de la plantilla posteriormente configurada.
Aquí damos el nombre a la regla “NAT” correspondiente a lo que queremos que haga.
Vamos a crear una regla de red, para configurar en  NAT, damos clic a la opcion crear una regla de red en la parte superior derecha.
Aquí ponemos en agregar la zona de origen del trafico que queremos hacer la traducción, en este caso de la red LAN la cual se llama “Interna” hacia la DMZ
Después de seleccionar la red interna y aparezca en la lista, damos clic en siguiente para agregar la red de llegada.  

Después de haber configurado la red de origen aquí seleccionaremos de la misma manera la red de destino que seria la DMZ, después de haberla seleccionado damos en siguiente para terminar la configuración. 
Aquí seleccionamos si queremos enrutar o hacer NAT (Network Address Translation). Seleccionamos la opción de NAT y damos siguiente y finalizar
agregamos una nueva regla de acceso la cual va a ser para el servicio WEB.
Le damos la acción a realizar para cuando se cumpla las condiciones que tiene la regla en nuestro caso permitimos el acceso al servicio WEB. 
Acá escogemos el protocolo al que se le va a aplicar la regla en este caso es al HTTP y HTTPS.

Después de haberlos agregado le damos siguiente.
Acá ponemos los orígenes para el trafico que se origine en la red interna (LAN) y la perimetral (DMZ).
Acá ponemos los destinos a donde van allegar el trafico de los orígenes.  
Escogemos a los usuarios que deseamos que la regla se aplique en nuestro caso lo vamos a hacer a todos los usuarios y finalizamos.
Acá ya la podemos ver la regla. 
Damos clic en finalizar, Para terminar la regla de acceso.
Acá ya realizaremos una nueva regla pero para publicar servicios en este caso vamos a publicar el servidor WEB en la LAN.
Le ponemos la dirección ip del servidor WEB.
Le ponemos una definición al protocolo y hacemos clic en siguiente.
En esta opción le damos el protocolo con que va hacer la conexión y el puerto y otras características.
Acá vemos la información de las conexiones y finalizamos.
Le damos finalizar al asistente de protocolos.
Seguimos configurando la regla para la publicación de servidores le damos siguiente.
Escogemos la dirección de escucha que en este caso es la externa y le damos siguiente y finalizamos.



Hasta pronto.....