SOLUCIONES PERIMETRALES_PLAN DE SEGURIDAD DE LA INFORMACIN SEGURIDAD PERIMETRAL CON FIREWALLS_TALLER

ERIKA STEPHANY FRANCO ORTEGA GRUPO: LARED - 38110

INSTRUCTOR ANDRES MAURICIO ORTIZ MORALES

CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL GESTION DE LA SEGURIDAD EN LA RED MEDELLN SENA 2011

CONTENIDO

INTRODUCCIN 1. OBJETIVOS 1.1 Objetivo General 1.2 Objetivo Especfico 2. MARCO TERICO 3. SEGURIDAD PERIMETRAL CON FIREWALLS EN UN DISPOSITIVO ROUTER 4. DIAGRAMA LGICO DE RED 5. CONFIGURACIN DE LAS REDES (NUBES) 5.1 Configuracin de la interfaz VBOXNET (Maquina Real RED WAN) 5.1.1 Interfaz VBOXNET0 6. CONFIGURACIN Y DIRECCIONAMIENTO DE LAS INTERFACES (REDES INTERNAS) 6.1 Red LAN 6.2 Equipo Windows XP (Administrador SDM) 6.3 Prueba de conectividad (Maquinas - Router) 7. CONFIGURACION DEL ROUTER 7.1 Configuracin interfaces Router R3 7.2 Configuracin servicio Web seguro Router R3 8. INSTALACION Y CONFIGURACIN ADMINISTRADOR DE DISPOSITIVOS DE SEGUIRIDAD SDM 9. PRUEBAS DE CONECTIVIDAD 10. ACCESO AL SDM 10.1 Router 3 (192.168.150.9) 11. NATEO ENMASCARAMIENTO 12. CONFIGURACIN DEL FIREWALL (CORTAFUEGOS) 13. PRUBAS DE CONECTIVIDAD REDIRECCIN DE PUERTOS 14.ACCESO A INTERNET DESDE LA RED INTERNA CONCLUSIONES BIBLIOGRAFIA

INTRODUCCIN

La seguridad perimetral se define como la correcta implementacin de los equipos de seguridad que controlan y protegen todo el trfico de entrada y salida entre todos los puntos de conexin o el permetro de la red a travs de una correcta definicin de las polticas de seguridad y una buena configuracin de los dispositivos de proteccin. La solucin de Seguridad Perimetral protege a las redes de las amenazas tales como Hackers, ataques de Negacin de Servicio (Denied of Service DoS), Malware, Spam, contenido malicioso en correos y Pginas Web en diferentes medios y puntos de conexin o permetro de la red organizacional. El objetivo principal de la realizacin de este trabajo es con el fin de implementar uno de los tipos de Soluciones Perimetrales, aplicables dentro de un entorno real, como lo es un FIREWALL en un Router Cisco, buscando en esencia fomentar y propiciar la seguridad del ambiente productivo en las conexiones de Red e Internet de forma segura. Cabe resaltar que para su correcta elaboracin, desarrollo e implementacin se hizo uso de diferentes herramientas y aplicaciones (Software) para facilitar dicho proceso como lo es la aplicacin GNS3 para emular el entorno de conexin con los routers, el SDM para administrar y configurar los routers a travs de una plataforma Web configurada remotamente y las mquinas virtuales que representan las redes en conexin. Se realiz con la mayor creatividad e inters posible para que el lector lo disfrute completamente.

1. OBJETIVOS

1.1 Objetivo General Definir las polticas, normas, tcnicas y procedimientos de seguridad de la red, aplicando estndares y normas internacionales de seguridad vigentes, para el aseguramiento de la informacin y la red, utilizando herramientas tecnolgicas, para realizar el diseo de una solucin perimetral como los es un FIREWALL en un Router.

1.2 Objetivos Especficos Configurar el hardware, el software y aplicar los procedimientos de seguridad, de acuerdo con el diseo establecido, garantizando el aseguramiento de la informacin y de la red, para implementar filtros de entrada y salida hacia la Red Local. Identificar las vulnerabilidades y ataques de la red de cmputo a travs de tcnicas y herramientas que permitan realizar el anlisis de riesgos y garantizar el funcionamiento de la red conforme con las pautas especificadas en el proceso de aprendizaje. Realizar procedimientos para la revisin y seguimiento de registro de eventos, en los equipos firewalls, servidores y estaciones de trabajo mediante herramientas y tcnicas que permitan determinar eventos que alteran el estado de la seguridad de la red, para tener control de la integridad del sistema.

2. MARCO TERICO

FIREWALL: Tambin conocidos como cortafuegos pueden ser dispositivos fsicos o software que cumple funciones de filtrado de paquetes en un computador (firewall personal) o en una red (Firewall de Red). Existen firewalls stateless y statefull siendo su principal diferencia el manejo de tablas dinmicas en memoria que logran asociar conexiones establecidas entre los nodos de una red. Generalmente los firewalls funcionan en la capa 3, 4 y 5 del modelo OSI, permitiendo filtrar direcciones IP, protocolos y puertos, como tambin conexiones establecidas o por establecerse con cualquiera de estos servicios. Una caracterstica de los firewalls ms comunes es que los mismos no soportan el anlisis de datos, por lo tanto no ser posible identificar el contenido de los paquetes que cruzan una red, para esto es necesario tener firewalls a nivel de aplicaciones (PROXY), ejemplos de estos son los WAF (Web Firewall Application) que no son ms que filtros a nivel de HTTP para evitar que los sistemas Web sean atacados. JAVA: Es un lenguaje de programacin orientado a objetos, es la tecnologa subyacente que permite el uso de programas punteros, como herramientas, juegos y aplicaciones de negocios; Existe un gran nmero de aplicaciones y sitios Web que no funcionan a menos que Java est instalado, y muchas ms que se crean a diario. Java es rpido, seguro y fiable. GNS3: Es un simulador grfico de red que te permite disear topologas de red complejas y poner en marcha simulaciones sobre ellos. Este tipo de emulador ser til para: Ser utilizado como plataforma de entrenamiento, utilizando software del mundo real, permitir a la gente familiarizarse con dispositivos Cisco, siendo Cisco el lder mundial en tecnologas de redes, probar y experimentar las funciones del Cisco IOS, verificar configuraciones rpidamente que sern implementadas en routers reales y es muy importante tener en cuenta que este emulador no puede reemplazar a un router real, es simplemente una herramienta complementaria para los administradores de redes Cisco. SDM: Es el anagrama abreviado de Cisco Router and Security Device Manager. Una herramienta de management basada en web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a travs de un web browser. Esta herramienta soporta un rango extremadamente amplio de routers Cisco IOS: Desde los routers de la familia 8xx, hasta los de la serie 73xx. En la actualidad se entrega preinstalado en todos los routers de servicios integrados nuevos de las series850, 870, 1800, 2800 y 3800. Adicionalmente puede ser instalado en una terminal de administracin y ser utilizado desde esa terminal.

 NAT (Network Address Translation - Traduccin de Direccin de Red): Es un mecanismo utilizado por enrutadores IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. Tambin es necesario editar los paquetes para permitir la operacin de protocolos que incluyen informacin de direcciones dentro de la conversacin del protocolo. Su uso ms comn es permitir utilizar direcciones privadas para acceder a Internet.

3. SEGURIDAD PERIMETRAL CON FIREWALLS EN UN DISPOSITIVO ROUTER 4. DIAGRAMA LGICO DE RED

Como se muestra en la topologa lgica de red, se encuentran especificadas las interfaces a utilizar, su respectivo direccionamiento y los dispositivos activos en funcionamiento para la correcta implementacin. Para la instalacin y configuracin de un Firewall de Red utilizando un Enrutador se requiere de una Maquina Virtual corriendo bajo el virtualizador Virtual Box denominada Red LAN la cual se encuentra configurada dentro de la red 192.168.150.0/24, sta maneja diferentes servicios de red tales como FTP, SMTP, DNS, POP3, IMAP, HTTP y HTTPS los cuales a su vez podrn ser visibles desde la Red Internet (WAN) a partir de la utilizacin de una Direccin IP pblica especificada en el enrutador y definida en el rango de direcciones de la red 192.168.10.0/24 (DHCP Red WAN). Dicha implementacin se emular en la plataforma GNS3 la cual nos permitir aadir un Router que utilice un IOS especfico para hacer filtrado con ACL y las respectivas nubes y conexiones que representarn las redes a utilizar y a las cuales las mismas se encuentran conectadas. As mismo, se requiere del manejo de dos interfaces de red, una VBOXNET0 (Host Only, que permite la conectividad de la Maquina virtual con la Maquina Real (puente) para que la primera sea visible por el GNS3 a travs de una direccin dentro del rango definido para la Red LAN) y una interfaz Ethernet que conectar al Router con la Mquina real permitiendo que esta misma sea configurada utilizando el Servicio de DHCP para la asignacin de su direccin (Direccin Pblica).

5. CONFIGURACIN DE LAS REDES (NUBES) Las nubes son un elemento que tiene GNS3, las cuales nos permiten representar cada una de la redes y que las maquinas conectadas a cada una de las interfaces existentes puedan comunicarse entre s y puedan salir a Internet. Como primer paso ingresamos a cada una de las nubes dando doble clic sobre las mismas; en ella debemos seleccionar y aadir la interfaz respectiva a la cual va a estar conectada (C2 a la Mquina Virtual de la Red LAN (vboxnet0) y C1 a la interfaz eth2 de la Red WAN (Internet)). Damos clic en Aceptar.

5.1 Configuracin de la interfaz VBOXNET (Maquina Real RED WAN) Es muy importante configurar estas interfaces en la mquina real y en la aplicacin VM Virtual Box ya que es por medio de estas es posible la conectividad de las mquinas con cada uno de los Routers y las redes. Para la configuracin de cada una de las interfaces nos dirigimos a la aplicacin de VM Virtual Box, en la pestaa superior damos clic en Archivo Preferencias, nos aparece una ventana de configuracin y seleccionamos Red; all podemos observar que nicamente esta la VBOXNET0; para agregar otra interfaz damos clic en el primer icono de la derecha y para configurar la direccin en el tercer icono. 5.1.1 Interfaz VBOXNET0 Configuramos una direccin IP que se encuentre dentro del rango de la Red LAN (192.168.150.11/24), ya que esta va a permitir la conectividad para par la misma, damos clic en Aceptar.

Como siguiente paso nos dirigimos a la terminal o lnea de comandos de la mquina real (DHCP) y con el comando /sbin/ifconfig verificamos la configuracin de las interfaces de red (Esta sentecia en el comando la utilizamos ya que no estamos en el PROMPT como usuario root). En ella podemos visualizar que la Interfaz eth2 tiene la direccin IP 192.168.10.26/24 (Esta direccin varia ms adelante ya que al cargar el archivo de configuracin del Router se debe pedir una nueva direccin IP), la Interfaz loopback 127.0.0.1/8 (Interfz virtual para ambientes de prueba) y la VBOXNET0 la 192.168.150.11/24 tal cual como la configuramos en el aplicativo Virtual Box (Interfaz virtual).

6. CONFIGURACIN Y DIRECCIONAMIENTO DE LAS INTERFACES (REDES INTERNAS) Cada uno de los adaptadores de red de las maquinas deben estar configurados en las interfaces respectivas, ya sea en la VBOXNET (Red privada - interna) en ADAPTADOR PUENTE (Internet). 6.1 Red LAN Como se especific anteriormente la maquina LAN debe estar configurada con el adaptador de red VBOXNET0, es por ello que estando en la maquina procedemos a ponerla en Adaptador sloanfitrin con el nombre vboxnet0 en el Adaptador 1 y damos clic en Aceptar (Esta opcin aparece en la lista desplegable).

Estando en la maquina (RED LAN) nos dirigimos al men superior y seleccionamos Sistema Administracin Red, luego elegimos el adaptador de red que en este caso es eth0 y le ponemos la direccin IP al servidor (192.168.150.7) y el Gateway con el cual podr salir a otras redes locales y

a Internet; damos clic en Aceptar. Ahora estando en una consola de lnea de comandos, ejecutamos el comando route n visualizamos la puerta de enlace predeterminada (Gateway) y por ultimo con el comando ifconfig verificamos que efectivamente la direccin IP fue asignada respectivamente como fue configurada.

Anteriormente habamos indicado que esta mquina (Servidor LAN) tiene algunos servicios instalados, es por ello que con el comando netstat -antp podemos verificar todos los servicios que estn corriendo en el servidor.

6.2 Equipo Windows XP (Administrador SDM) Esta mquina se encuentra configurada en la red LAN con el adaptador de red VBOXNET0, es por ello que estando en la maquina procedemos a ponerla en Adaptador slo-anfitrin con el nombre vboxnet0 en el Adaptador 1; damos clic en Aceptar. Para la configuracin de las direccin IP, nos dirigimos a Inicio Panel de Control Conexiones de Red, damos clic derecho en el Adaptador de Red y ponemos la direccin IP que se encuentre en el rango de red de la LAN, colocamos el Gateway y como DNS el servidor donde se encuentran configurados todos los servicios, es decir la mquina principal de la RED; por ultimo damos clic en Aceptar.

6.3 Prueba de conectividad (Maquinas - Router) Con el comando ping, procedemos a probar la conectividad desde la mquina cliente hacia las puertas de enlace directamente conectadas al Router. En este caso como se ve en la imagen se probo la conectividad directamente a la Mquina LAN Servidor y efectivamente dio resultado pasando por el respectivo Gateway. WINDOWS XP

7. CONFIGURACION DEL ROUTER 7.1 Configuracin interfaces Router R3 Para arrancar y abrir la consola del Router en GNS3, damos clic derecho sobre el mismo y seleccionamos Iniciar Console, inmediatamente nos aparece una interfaz de linea de comandos, Ahora vamos a entrar en modo privilegiado editando el comando en - enable y despus a modo de configuracin con el comando configure terminal; Estando en el modo de configuracion global, ingresamos a cada una de las interfaces con el comando interface + nombre de la interfaz, despues con el comando no shudown encedemos la interfaz para su funcionamiento. Utilizamos el comando end para volver al modo privilegiado: Interfaz FastEthernet0/1 (Direccion IP esttica Gateway red LAN); Interfaz FastEthernet0/0 (Direccin IP DHCP Red WAN (INTERNET)). Con el comando show ip interface brief, podemos verificas que el direccionamiento fue configurado correctamente y que las interfaces estn activas (up).

7.2 Configuracin servicio Web seguro Router R3 Para la creacin del FIREWALL en el Router se debe configurar un Servicio Web (HTTPS Protocolo seguro de transferencia de hipertexto) y un Certificado Digital para conectarnos en modo seguro desde la maquina Windows XP mencionada anteriormente por medio del aplicativo SDM que permite la configuracin de Routers Cisco en una interfaz grafica. Para ello ingresamos al modo de configuracin global configure terminal y ejecutamos los siguientes comandos para la creacin del Certificado Digital: IP HTTP SERVER: Este comando permite que el router acte como un servidor HTTP. IP HTTP SECURE-SERVER: Permite configurar que el servidor sea seguro (HTTPS), genera el certificado para el servidor Web. IP HTTP AUTHENTICATION LOCAL: Especifica que la autenticacin ser local. IP HTTP TIMEOUT-POLICY IDLE 600 LIFE 86400 REQUEST 10000: Especifica el tiempo de vida y las peticiones. USERNAME ADMIN PRIVILEGE 15 PASSWORD ADMIN: Permite especificar y configurar el usuario (admin) y la contrasea (admin); este usuario y contrasea son las credenciales que permitirn la conexin con cada uno de los Routers por medio del aplicativo WEB. LINE VTY 0 15: Permitir a los administradores conectarse al router estableciendo una sesin va Telnet desde cualquier PC de una de las dos redes. LOGIN LOCAL: Permite habilitar las sesiones localmente. PRIVILEGE LEVEL 15: Implementado para establecer el privilegio VTY para activar el modo al iniciar sesin.

Con el comando show running-config, podremos visualizar todas las configuraciones hechas anteriormente, como el certificado que se genero para el servidor Web.

Guardamos la configuracin con el comando Copy running-config startup-config, damos ENTER para terminar de guardar.

8. INSTALACION Y CONFIGURACIN ADMINISTRADOR DE DISPOSITIVOS DE SEGURIDAD SDM SDM (Security Device Manager), es una herramienta que permite acceder por medio de una interfaz Web a un Router Cisco para su configuracin en general; este software nos permitir hacer el FIREWALL en el Router con sus respectivos parmetros. Para la instalacin de este descargamos el instalador de la pgina oficial de CISCO y damos doble clic en el ejecutable, inmediatamente nos aparece un asistente en el cual nos dan un mensaje de bienvenida con una breve descripcin y una recomendacin, damos clic en Siguiente para empezar la instalacin.

En la siguiente ventana debemos aceptar la licencia del software, despus de leer detenidamente seleccionamos Acepto y damos clic en Siguiente para continuar.

A continuacin podemos elegir en donde queremos instalas el software, si en el Router o localmente, para este caso lo instalaremos en el equipo, pera ello seleccionamos Este equipo y damos clic en Siguiente.

Como siguiente paso indicamos la ruta en la cual los archivos del programa se van a guardar. Para este caso dejamos la que ndica por defecto el asistente. En caso de que se desee cambiar el destino damos clic en Examinar. Procedemos a dar clic en Siguiente.

El asistente nos dice que est preparado para la instalacin y por consiguiente damos clic en Instalar y esperamos a que termine el proceso de instalacin.

Esperamos que el proceso de instalacin se ejecute completamente.

Ya finalizada la instalacin damos clic en Finalizar para salir de dicha instalacin.

Es de gran importancia tener en cuenta que para el funcionamiento del SDM, debemos tener previamente instalada la aplicacin JAVA 5.0 e Internet Explorer 6.0 ya que son requerimientos de esta aplicacin.

9. PRUEBAS DE CONECTIVIDAD

Como siguiente paso nos dirigimos a probar la conectividad entre las diferentes redes y sus diferentes puertas de enlace, lo que valide que todas las interfaces estn configuradas correctamente y el trfico de los paquetes entrantes y salientes en cada una de las redes son recibidos exitosamente. Para ellos probaremos desde cada mquina a su respectivo Gateway (Router) y luego entre las diferentes mquinas. Las pruebas de conectividad se ejecutan utilizando el comando ping en una terminal o lnea de comandos; en el caso del Router se efecta en la consola en modo privilegiado. WINDOWS XP - GATEWAY

R3 RED LAN

 SERVIDOR LAN - GATEWAY

SERVIDOR LAN - WINDOWS XP

10. ACCESO AL SDM 10.1 Router 3 (192.168.150.9)

En el men de inicio se crea un acceso directo para acceder a la interfaz administrativa del Router, para ello damos doble clic en el icono o clic derecho Abrir e inmediatamente nos aparece una ventana del Aplicativo Cisco.

Esta ventana nos dice que el SDM se abrir con el explorador por defecto, como siguiente paso especificamos la direccin IP del Router (GW), en este caso la del Router que est conectado a la Red LAN y damos clic en Iniciar.

A continuacin se abre el explorador mostrando una ventana que nos pide el usuario y contrasea configurada anteriormente en el Router, editamos las credenciales requeridas y damos clic en Aceptar.

Para ms seguridad, si las credenciales son correctas, nos aparece otra ventana del aplicativo Java para autenticarnos nuevamente con el usuario y la contrasea y damos clic en SI.

Inmediatamente se abre la Aplicacin Cisco Router and Security Device Manager (SDM); esperamos que la configuracin del SDM se cargue completamente y as podamos administrar el Router por este medio grficamente.

Como se muestra en la siguiente imagen nos aparece una interfaz grafica de administracin del Router 3, la cual nos brinda informacin bsica del Router, damos clic en la pestaa Configurar.

Aqu podemos observar la configuracin hecha anteriormente en el Router, damos clic en Interfaces y configuraciones para visualizar nuevamente el estado de cada una y su direccionamiento IP.

11. NATEO - ENMASCARAMIENTO

El Router 3 tiene la salida a Internet, ya que tiene directamente conectada una interfaz en la red 192.168.10.0 (eth2), que es la de la RED WAN, que es la de la DHCP. La configuracin del Nateo permitir que cada una de las maquinas tenga la salida a la red pblica y tengan acceso a Internet, es por ello que cada vez que los equipos requieran navegar la direccin IP privada ser cambiada por la direccin IP publica que haya obtenido el Router (Enmascaramiento) para que en el exterior las redes internas no sean visibles. Nos dirigimos a la opcin NAT, seleccionamos NAT avanzada y damos clic en Iniciar la tarea seleccionada para iniciar esta configuracin.

Nos parece una asistente para la configuracin, este primero nos da un mensaje de bienvenida dndonos una breve introduccin de lo que nos ofrece esta opcin. Despus de haber detenidamente esto, damos clic en Siguiente.

A continuacin debemos seleccionar la interfaz por la cual estamos directamente conectados a Internet (Proveedor de Servicios de Internet), tambin nos ofrecen una breve explicacin de lo que debemos hacer o tomar en cuenta, en este caso es la interfaz fastEthernet0/0 y damos Siguiente para continuar.

Ahora especificamos las redes (Direcciones IP) que necesitan tener acceso a Internet, es decir, la redes internas. Por defecto ste toma la red LAN; la seleccionamos tal cual como se muestra en la imagen y damos clic en Siguiente.

La configuracin del NAT se encuentra basada en la traduccin de direcciones IP para salir de una red privada a una pblica o viceversa. Para aadir las direcciones pblicas para servidores que a su vez permitir que la RED LAN pueda hacer uso de los servicios de la RED WAN (Internet). Damos clic en Agregar

Agregaremos las reglas de traduccin de direcciones, indicamos la direccin IP privada de la mquina LAN que posee los servicios (192.168.150.7), la direccin IP pblica la cual est indicada por la interfaz del ISP (Proveedor de Servicios de Internet), el tipo de servicios al cual se va a acceder en este caso Servidor Web y el puerto original que ste utiliza (80). Damos clic en Aceptar.

De igual forma seguimos agregando los dems servicios, en este caso para el DNS se especifican los mismos parmetros a diferencia de que el tipo de servicios es Otros ya que en las opciones que la lista desplegable contiene no est el servicio DNS. Como puerto original y traducido indicamos el 53 y el protocolo TCP. Esta regla se debe realizar nuevamente con el mismo servicio y puerto pero variando de protocolo (UDP) ya que el DNS trabaja con ambos tipos de protocolos. Damos clic en Aceptar.

Ya agregados cada uno de los servicios podemos ver la direccin IP privada del servidor con su respectivo puerto y la Direccin IP pblica (Interfaz) con el puerto del cual se quiere hacer uso. Como podemos ver para el servicio FTP tambin se agregan dos reglas indicando los puertos 20 y 21; para el SMTP el POP3, el IMAP y el HTTPS se realiza el mismo procedimiento que el Servidor Web. Damos clic en Siguiente.

Por ltimo el asistente nos muestra un resumen de lo que hemos hecho y damos clic en Finalizar

Aparece una ventana informando el estado de los comandos que se estn enviando al Router despus de haber hecho esta configuracin, cuando termina de cargar damos clic en Aceptar.

Como podemos ver en la siguiente imagen, si damos clic en la pestaa Configurar NAT Editar configuracin NAT (Actualizar) se listarn cada una de las reglas creadas indicando las interfaces internas (FastEthernet0/1) y las externas (FastEthernet0/0). Para agregar nuevas reglas podemos dar clic en el botn Agregar, para editar en el segundo botn y en el tercero para eliminar.

12. CONFIGURACIN DEL FIREWALL (CORTAFUEGOS)

Es de gran importancia tener presente que cuando una Intranet va a publicar servicios en Internet u otras redes; una solucin perimetral como el Firewall cumple un papel muy importante ya que filtra por medio de reglas los paquetes que no tienen un origen o destino correcto y deja pasar los que cumplen con los parmetros previamente especificados. Para configurar un Firewall en el Router, nos dirigimos a la pestaa Configurar Firewall y ACL (Listas de Acceso) Crear firewall, seleccionamos Firewall bsico (Ya que no haremos uso de una DMZ (Zona desmilitarizada)) y damos clic en Iniciar la tarea seleccionada.

Inmediatamente nos aparece un asistente que nos permitir crear el Firewall Bsico. Este da una breve explicacin de las ventajas y funciones que ste presenta al momento de ser implementado. Damos clic en Siguiente para continuar.

A continuacin debemos especificar las interfaces del Router (Interna - Externa). Para la Interfaz externa (no fiable) seleccionamos FastEthernet0/0 (Interfaz WAN) y en Interfaces internas (fiables) seleccionamos FastEthernet0/1 (Interfaz LAN). Damos clic en Siguiente.

El Asistente nos muestra una alerta indicando que no podemos iniciar el SDM desde las interfaz externa hasta que finalice el proceso. Damos clic en Aceptar.

Luego el SDM informa que hay una regla para examinar la interfaz externa (SDM_LOW). Damos S para eliminarla.

El Asistente nos muestra un resumen de las reglas que va a crear automticamente (filtros) en cada una de las interfaces, damos clic en Finalizar.

Ya que anteriormente configuramos el NAT, el asistente nos indica que si deseamos que el SDM modifique el Firewall de tal modo que no afecte la configuracin del nateo existente. Damos clic en S.

SDM detecta que se ha configurado un cliente DHCP en la interfaz externa, damos clic en S para que el aplicativo permita que el trfico DHCP circule a travs del firewall.

Aparece una ventana informando el estado de los comandos que se estn enviando al Router despus de haber hecho esta configuracin, cuando termina de cargar damos clic en Aceptar.

Terminada la configuracin del firewall, el asistente nos notifica que la implementacin fue correcta. Damos clic en Aceptar.

Nos dirigimos a la pestaa Configurar Firewall y ACL Editar poltica de firewall/Lista de control de acceso, seleccionamos las interfaces de acuerdo al trfico que queremos identificar, en este caso desde la interna hacia la externa (trfico de origen) damos clic en Ir. Como podemos ver, se est denegando desde un origen y destino cualquiera el servicio IP y desde la direccin de loopback hacia cualquier destino el mismo servicio. Como poltica por defecto se encuentra en permitir.

Procedemos a verificar las reglas del trfico de vuelta para las mismas interfaces, damos clic en Ir. Como podemos ver todas las reglas se encuentran en permitir desde cualquier origen hacia cualquier destino para los servicios WEB, SMTP, DNS, POP3, HTTPS y el FTP. Se encuentra denegado el acceso desde el origen 192.168.150.0/24 por el protocolo IP.

Algunas de las reglas como se muestra en la imagen se encuentran en denegar para algunas direcciones IP y la regla por defecto est en DENY.

Observamos el Trfico de vuelta que debe indicar de extremos a extremo los mismos filtros.

Verificamos las reglas con direccin de la interfaz externa hacia la interna como trfico de origen y efectivamente son las mismas reglas variando en algunos casos su origen y destino. La finalidad principal de estos filtros es publicar desde la red LAN los servicios especificados hacia cualquier red, permitir el acceso a Internet desde la red interna y denegar todo lo dems.

Utilizando la direccin de externa a interna observamos los filtros para el Trfico de vuelta.

13. PRUBAS DE CONECTIVIDAD REDIRECCIN DE PUERTOS

Anteriormente habamos dicho que el Servidor LAN mquina tiene algunos servicios instalados, es por ello que con el comando netstat -antp podemos verificar todos los servicios que estn corriendo en el servidor.

Para verificar que la redireccin de puertos se configur correctamente y que la RED_WAN puede acceder a los servicios de la RED_LAN, nos dirigimos a una mquina que se encuentre dentro de la red externa (DHCP 192.168.10.134) e ingresamos al navegador Web. Es importante tener claro que la direccin que nos va a redireccionar a la LAN es la IP pblica que tiene la interfaz de la RED WAN ya que en el exterior no deben tener conocimiento de la IP privada de la organizacin. HTTP - HTTPS Estando en el navegador ingresaremos con la direccin IP del servidor para probar el ingreso a la pgina Web. Utilizamos el protocolo HTTP para el modo no seguro y luego el HTTPS para que la comunicacin sea cifrada y este respaldada por un certificado digital.

Al momento de conectarnos utilizando el protocolo HTTP seguro (HTTPS) ste nos pide confirmacin sobre la confianza de dicho sitio ya que no contamos con un Certificado Digital instalado en el Navegar que valide dicha pgina. Para este caso damos clic en el boton Aadir excepciones para poder ingresar al sitio.

FTP Para acceder al Servicio FTP tambin podemos ingresar en la barra de direcciones de algn directorio del sistema de archivos dando Ctrl + L y digitamos la URL ftp://192.168.10.134 (IP Pblica); inmediatamente seleccionamos en la ventana Conectar como usuario, ste nos pedir que digitemos el log in de usuario, damos clic en Conectar y cmo podemos ver ste nos muestra el directorio y los archivos que ste contiene. Par ver el archive documento.txt que se encuentra publicado damos clic sobre l para visualizar su contenido.

 SMTP Para probar la funcionalidad y conectividad al servidor de correo utilizamos en la terminal el comando telnet + direccin IP pblica + puerto del servicio SMTP lo cual nos permitir conectarnos remotamente al servidor de correo. Efectivamente ste nos responde con el nombre completo de la mquina mail.eriku.com; para ver las opciones que podemos utilizar en dicha conexin le indicamos al servidor la utilizacin del mismo a partir de un saludo EHLO mail.eriku.com y ste nos listar las opciones. Para salir de dicha conexin ingresamos el comando exit.

POP3 E IMAP La utilizacin y conectividad al servidor POP3 e IMAP se ejecuta de igual forma que el servicio SMTP a diferencia que el puerto en este caso es el perteneciente al servidor POP3 (110) e IMAP (143). Dicha conexin nos responder de acuerdo a la plataforma en el cual este implementado, en este caso +OK Dovecot ready.

14. ACCESO A INTERNET DESDE LA RED INTERNA

Como podemos ver a continuacin cada una de las maquinas de la red LAN1 y LAN2 tiene acceso a Internet sin necesidad de tener una interfaz de red conectada directamente a Internet.

CONCLUSIONES

Los firewalls son parte esencial de cualquier solucin de seguridad en redes y para proporcionar la mxima proteccin contra ataques, a la vez que permiten soportar aplicaciones innovadoras, es importante que estos equipos acten como parte de una plataforma integral de seguridad. En definitiva, un firewall es un complemento al resto de medidas corporativas que se han de tomar para garantizar la proteccin de la informacin y que han de contemplar no solo los ataques externos, sino tambin los internos, que puede realizar el propio personal, as como todas aquellas aplicaciones que estn instaladas y que pueden tener posibles entradas a intrusos. El aplicativo GNS3 permite emular la existencia de un enrutador entre dos redes (RED LAN RED WAN) y conectar a travs de este ambas nubes de la infraestructura. La administracin de dicho Router se puede realizar de forma prctica utilizando el software SDM de forma grfica utilizando un Certificado Digital y un Servicio Web que le permita al usuario interactuar con los dispositivos activos en una plataforma diseada para la administracin de los mismos. La utilizacin de mquinas virtuales admite la realizacin de pruebas antes de la implementacin y montaje en un ambiente productivo.

BIBLIOGRAFA

https://cursos.redsena.net http://es.wikipedia.org/wiki/Gns3 http://es.wikipedia.org/wiki/Network_Address_Translation http://www.cisco.com/en/US/products/sw/secursw/ps5318/index.html http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29 http://es.wikipedia.org/wiki/Java_%28lenguaje_de_programaci%C3%B3n%29