SOLUCIONES PERIMETRALES_PLAN DE SEGURIDAD DE LA INFORMACIÓN SEGURIDAD PERIMETRAL CON FIREWALLS_TALLER

ERIKA STEPHANY FRANCO ORTEGA GRUPO: LARED - 38110

INSTRUCTOR ANDRES MAURICIO ORTIZ MORALES

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL GESTION DE LA SEGURIDAD EN LA RED MEDELLÍN SENA 2011

CONTENIDO

INTRODUCCIÓN 1. OBJETIVOS 1.1 Objetivo General 1.2 Objetivo Específico 2. MARCO TEÓRICO 3. SEGURIDAD PERIMETRAL CON FIREWALLS EN UN DISPOSITIVO ROUTER 4. DIAGRAMA LÓGICO DE RED 5. CONFIGURACIÓN DE LAS REDES (NUBES) 5.1 Configuración de la interfaz VBOXNET (Maquina Real – RED WAN) 5.1.1 Interfaz VBOXNET0 6. CONFIGURACIÓN Y DIRECCIONAMIENTO DE LAS INTERFACES (REDES INTERNAS) 6.1 Red LAN 6.2 Equipo Windows XP (Administrador SDM) 6.3 Prueba de conectividad (Maquinas - Router) 7. CONFIGURACION DEL ROUTER 7.1 Configuración interfaces Router R3 7.2 Configuración servicio Web seguro Router R3 8. INSTALACION Y CONFIGURACIÓN ADMINISTRADOR DE DISPOSITIVOS DE SEGUIRIDAD SDM 9. PRUEBAS DE CONECTIVIDAD 10. ACCESO AL SDM 10.1 Router 3 (192.168.150.9) 11. NATEO – ENMASCARAMIENTO 12. CONFIGURACIÓN DEL FIREWALL (CORTAFUEGOS) 13. PRUBAS DE CONECTIVIDAD – REDIRECCIÓN DE PUERTOS 14.ACCESO A INTERNET DESDE LA RED INTERNA CONCLUSIONES BIBLIOGRAFIA

INTRODUCCIÓN

La seguridad perimetral se define como la correcta implementación de los equipos de seguridad que controlan y protegen todo el tráfico de entrada y salida entre todos los puntos de conexión o el perímetro de la red a través de una correcta definición de las políticas de seguridad y una buena configuración de los dispositivos de protección. La solución de Seguridad Perimetral protege a las redes de las amenazas tales como Hackers, ataques de Negación de Servicio (Denied of Service DoS), Malware, Spam, contenido malicioso en correos y Páginas Web en diferentes medios y puntos de conexión o perímetro de la red organizacional. El objetivo principal de la realización de este trabajo es con el fin de implementar uno de los tipos de Soluciones Perimetrales, aplicables dentro de un entorno real, como lo es un FIREWALL en un Router Cisco, buscando en esencia fomentar y propiciar la seguridad del ambiente productivo en las conexiones de Red e Internet de forma segura. Cabe resaltar que para su correcta elaboración, desarrollo e implementación se hizo uso de diferentes herramientas y aplicaciones (Software) para facilitar dicho proceso como lo es la aplicación GNS3 para emular el entorno de conexión con los routers, el SDM para administrar y configurar los routers a través de una plataforma Web configurada remotamente y las máquinas virtuales que representan las redes en conexión. Se realizó con la mayor creatividad e interés posible para que el lector lo disfrute completamente.

1. OBJETIVOS

1.1 Objetivo General Definir las políticas, normas, técnicas y procedimientos de seguridad de la red, aplicando estándares y normas internacionales de seguridad vigentes, para el aseguramiento de la información y la red, utilizando herramientas tecnológicas, para realizar el diseño de una solución perimetral como los es un FIREWALL en un Router.

1.2 Objetivos Específicos  Configurar el hardware, el software y aplicar los procedimientos de seguridad, de acuerdo con el diseño establecido, garantizando el aseguramiento de la información y de la red, para implementar filtros de entrada y salida hacia la Red Local.  Identificar las vulnerabilidades y ataques de la red de cómputo a través de técnicas y herramientas que permitan realizar el análisis de riesgos y garantizar el funcionamiento de la red conforme con las pautas especificadas en el proceso de aprendizaje.  Realizar procedimientos para la revisión y seguimiento de registro de eventos, en los equipos firewalls, servidores y estaciones de trabajo mediante herramientas y técnicas que permitan determinar eventos que alteran el estado de la seguridad de la red, para tener control de la integridad del sistema.

2. MARCO TEÓRICO

 FIREWALL: También conocidos como cortafuegos pueden ser dispositivos físicos o software que cumple funciones de filtrado de paquetes en un computador (firewall personal) o en una red (Firewall de Red). Existen firewalls stateless y statefull siendo su principal diferencia el manejo de tablas dinámicas en memoria que logran asociar conexiones establecidas entre los nodos de una red. Generalmente los firewalls funcionan en la capa 3, 4 y 5 del modelo OSI, permitiendo filtrar direcciones IP, protocolos y puertos, como también conexiones establecidas o por establecerse con cualquiera de estos servicios. Una característica de los firewalls más comunes es que los mismos no soportan el análisis de datos, por lo tanto no será posible identificar el contenido de los paquetes que cruzan una red, para esto es necesario tener firewalls a nivel de aplicaciones (PROXY), ejemplos de estos son los WAF (Web Firewall Application) que no son más que filtros a nivel de HTTP para evitar que los sistemas Web sean atacados.  JAVA: Es un lenguaje de programación orientado a objetos, es la tecnología subyacente que permite el uso de programas punteros, como herramientas, juegos y aplicaciones de negocios; Existe un gran número de aplicaciones y sitios Web que no funcionan a menos que Java esté instalado, y muchas más que se crean a diario. Java es rápido, seguro y fiable.  GNS3: Es un simulador gráfico de red que te permite diseñar topologías de red complejas y poner en marcha simulaciones sobre ellos. Este tipo de emulador será útil para: Ser utilizado como plataforma de entrenamiento, utilizando software del mundo real, permitirá a la gente familiarizarse con dispositivos Cisco, siendo Cisco el líder mundial en tecnologías de redes, probar y experimentar las funciones del Cisco IOS, verificar configuraciones rápidamente que serán implementadas en routers reales y es muy importante tener en cuenta que este emulador no puede reemplazar a un router real, es simplemente una herramienta complementaria para los administradores de redes Cisco.  SDM: Es el anagrama abreviado de Cisco Router and Security Device Manager. Una herramienta de management basada en web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a través de un web browser. Esta herramienta soporta un rango extremadamente amplio de routers Cisco IOS: Desde los routers de la familia 8xx, hasta los de la serie 73xx. En la actualidad se entrega preinstalado en todos los routers de servicios integrados nuevos de las series850, 870, 1800, 2800 y 3800. Adicionalmente puede ser instalado en una terminal de administración y ser utilizado desde esa terminal.

 NAT (Network Address Translation - Traducción de Dirección de Red): Es un mecanismo utilizado por enrutadores IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones dentro de la conversación del protocolo. Su uso más común es permitir utilizar direcciones privadas para acceder a Internet.

3. SEGURIDAD PERIMETRAL CON FIREWALLS EN UN DISPOSITIVO ROUTER 4. DIAGRAMA LÓGICO DE RED

Como se muestra en la topología lógica de red, se encuentran especificadas las interfaces a utilizar, su respectivo direccionamiento y los dispositivos activos en funcionamiento para la correcta implementación. Para la instalación y configuración de un Firewall de Red utilizando un Enrutador se requiere de una Maquina Virtual corriendo bajo el virtualizador Virtual Box denominada Red LAN la cual se encuentra configurada dentro de la red 192.168.150.0/24, ésta maneja diferentes servicios de red tales como FTP, SMTP, DNS, POP3, IMAP, HTTP y HTTPS los cuales a su vez podrán ser visibles desde la Red Internet (WAN) a partir de la utilización de una Dirección IP pública especificada en el enrutador y definida en el rango de direcciones de la red 192.168.10.0/24 (DHCP – Red WAN). Dicha implementación se emulará en la plataforma GNS3 la cual nos permitirá añadir un Router que utilice un IOS específico para hacer filtrado con ACL y las respectivas nubes y conexiones que representarán las redes a utilizar y a las cuales las mismas se encuentran conectadas. Así mismo, se requiere del manejo de dos interfaces de red, una VBOXNET0 (Host Only, que permite la conectividad de la Maquina virtual con la Maquina Real (puente) para que la primera sea visible por el GNS3 a través de una dirección dentro del rango definido para la Red LAN) y una interfaz Ethernet que conectará al Router con la Máquina real permitiendo que esta misma sea configurada utilizando el Servicio de DHCP para la asignación de su dirección (Dirección Pública).

5. CONFIGURACIÓN DE LAS REDES (NUBES) Las nubes son un elemento que tiene GNS3, las cuales nos permiten representar cada una de la redes y que las maquinas conectadas a cada una de las interfaces existentes puedan comunicarse entre sí y puedan salir a Internet. Como primer paso ingresamos a cada una de las nubes dando doble clic sobre las mismas; en ella debemos seleccionar y añadir la interfaz respectiva a la cual va a estar conectada (C2 a la Máquina Virtual de la Red LAN (vboxnet0) y C1 a la interfaz eth2 de la Red WAN (Internet)). Damos clic en Aceptar.

5.1 Configuración de la interfaz VBOXNET (Maquina Real – RED WAN) Es muy importante configurar estas interfaces en la máquina real y en la aplicación VM Virtual Box ya que es por medio de estas es posible la conectividad de las máquinas con cada uno de los Routers y las redes. Para la configuración de cada una de las interfaces nos dirigimos a la aplicación de VM Virtual Box, en la pestaña superior damos clic en Archivo – Preferencias, nos aparece una ventana de configuración y seleccionamos Red; allí podemos observar que únicamente esta la VBOXNET0; para agregar otra interfaz damos clic en el primer icono de la derecha y para configurar la dirección en el tercer icono. 5.1.1 Interfaz VBOXNET0 Configuramos una dirección IP que se encuentre dentro del rango de la Red LAN (192.168.150.11/24), ya que esta va a permitir la conectividad para par la misma, damos clic en Aceptar.

Como siguiente paso nos dirigimos a la terminal o línea de comandos de la máquina real (DHCP) y con el comando “/sbin/ifconfig” verificamos la configuración de las interfaces de red (Esta sentecia en el comando la utilizamos ya que no estamos en el PROMPT como usuario root). En ella podemos visualizar que la Interfaz eth2 tiene la dirección IP 192.168.10.26/24 (Esta dirección varia más adelante ya que al cargar el archivo de configuración del Router se debe pedir una nueva dirección IP), la Interfaz loopback 127.0.0.1/8 (Interfáz virtual para ambientes de prueba) y la VBOXNET0 la 192.168.150.11/24 tal cual como la configuramos en el aplicativo Virtual Box (Interfaz virtual).

6. CONFIGURACIÓN Y DIRECCIONAMIENTO DE LAS INTERFACES (REDES INTERNAS) Cada uno de los adaptadores de red de las maquinas deben estar configurados en las interfaces respectivas, ya sea en la VBOXNET (Red privada - interna) ó en ADAPTADOR PUENTE (Internet). 6.1 Red LAN Como se especificó anteriormente la maquina LAN debe estar configurada con el adaptador de red VBOXNET0, es por ello que estando en la maquina procedemos a ponerla en Adaptador sóloanfitrión con el nombre vboxnet0 en el Adaptador 1 y damos clic en Aceptar (Esta opción aparece en la lista desplegable).

Estando en la maquina (RED LAN) nos dirigimos al menú superior y seleccionamos Sistema – Administración – Red, luego elegimos el adaptador de red que en este caso es eth0 y le ponemos la dirección IP al servidor (192.168.150.7) y el Gateway con el cual podrá salir a otras redes locales y

a Internet; damos clic en Aceptar. Ahora estando en una consola de línea de comandos, ejecutamos el comando “route –n” visualizamos la puerta de enlace predeterminada (Gateway) y por ultimo con el comando “ifconfig” verificamos que efectivamente la dirección IP fue asignada respectivamente como fue configurada.

Anteriormente habíamos indicado que esta máquina (Servidor LAN) tiene algunos servicios instalados, es por ello que con el comando “netstat -antp” podemos verificar todos los servicios que están corriendo en el servidor.

6.2 Equipo Windows XP (Administrador SDM) Esta máquina se encuentra configurada en la red LAN con el adaptador de red VBOXNET0, es por ello que estando en la maquina procedemos a ponerla en Adaptador sólo-anfitrión con el nombre vboxnet0 en el Adaptador 1; damos clic en Aceptar. Para la configuración de las dirección IP, nos dirigimos a Inicio – Panel de Control – Conexiones de Red, damos clic derecho en el Adaptador de Red y ponemos la dirección IP que se encuentre en el rango de red de la LAN, colocamos el Gateway y como DNS el servidor donde se encuentran configurados todos los servicios, es decir la máquina principal de la RED; por ultimo damos clic en Aceptar.

6.3 Prueba de conectividad (Maquinas - Router) Con el comando “ping”, procedemos a probar la conectividad desde la máquina cliente hacia las puertas de enlace directamente conectadas al Router. En este caso como se ve en la imagen se probo la conectividad directamente a la Máquina LAN Servidor y efectivamente dio resultado pasando por el respectivo Gateway.   WINDOWS XP

7. CONFIGURACION DEL ROUTER 7.1 Configuración interfaces Router R3 Para arrancar y abrir la consola del Router en GNS3, damos clic derecho sobre el mismo y seleccionamos Iniciar – Console, inmediatamente nos aparece una interfaz de linea de comandos, Ahora vamos a entrar en modo privilegiado editando el comando “en - enable” y después a modo de configuración con el comando “configure terminal”; Estando en el modo de configuracion global, ingresamos a cada una de las interfaces con el comando “interface + nombre de la interfaz”, despues con el comando “no shudown” encedemos la interfaz para su funcionamiento. Utilizamos el comando “end” para volver al modo privilegiado: Interfaz FastEthernet0/1 (Direccion IP estática – Gateway red LAN); Interfaz FastEthernet0/0 (Dirección IP DHCP – Red WAN (INTERNET)). Con el comando “show ip interface brief”, podemos verificas que el direccionamiento fue configurado correctamente y que las interfaces estén activas (up).

7.2 Configuración servicio Web seguro Router R3 Para la creación del FIREWALL en el Router se debe configurar un Servicio Web (HTTPS Protocolo seguro de transferencia de hipertexto) y un Certificado Digital para conectarnos en modo seguro desde la maquina Windows XP mencionada anteriormente por medio del aplicativo SDM que permite la configuración de Routers Cisco en una interfaz grafica. Para ello ingresamos al modo de configuración global “configure terminal” y ejecutamos los siguientes comandos para la creación del Certificado Digital:  IP HTTP SERVER: Este comando permite que el router actúe como un servidor HTTP.  IP HTTP SECURE-SERVER: Permite configurar que el servidor sea seguro (HTTPS), genera el certificado para el servidor Web.  IP HTTP AUTHENTICATION LOCAL: Especifica que la autenticación será local.  IP HTTP TIMEOUT-POLICY IDLE 600 LIFE 86400 REQUEST 10000: Especifica el tiempo de vida y las peticiones.  USERNAME ADMIN PRIVILEGE 15 PASSWORD ADMIN: Permite especificar y configurar el usuario (admin) y la contraseña (admin); este usuario y contraseña son las credenciales que permitirán la conexión con cada uno de los Routers por medio del aplicativo WEB.  LINE VTY 0 15: Permitir a los administradores conectarse al router estableciendo una sesión vía Telnet desde cualquier PC de una de las dos redes.  LOGIN LOCAL: Permite habilitar las sesiones localmente.  PRIVILEGE LEVEL 15: Implementado para establecer el privilegio VTY para activar el modo al iniciar sesión.

Con el comando “show running-config”, podremos visualizar todas las configuraciones hechas anteriormente, como el certificado que se genero para el servidor Web.

Guardamos la configuración con el comando “Copy running-config startup-config”, damos ENTER para terminar de guardar.

8. INSTALACION Y CONFIGURACIÓN ADMINISTRADOR DE DISPOSITIVOS DE SEGURIDAD SDM SDM (Security Device Manager), es una herramienta que permite acceder por medio de una interfaz Web a un Router Cisco para su configuración en general; este software nos permitirá hacer el FIREWALL en el Router con sus respectivos parámetros. Para la instalación de este descargamos el instalador de la página oficial de CISCO y damos doble clic en el ejecutable, inmediatamente nos aparece un asistente en el cual nos dan un mensaje de bienvenida con una breve descripción y una recomendación, damos clic en Siguiente para empezar la instalación.

En la siguiente ventana debemos aceptar la licencia del software, después de leer detenidamente seleccionamos “Acepto” y damos clic en Siguiente para continuar.

A continuación podemos elegir en donde queremos instalas el software, si en el Router o localmente, para este caso lo instalaremos en el equipo, pera ello seleccionamos “Este equipo” y damos clic en Siguiente.

Como siguiente paso indicamos la ruta en la cual los archivos del programa se van a guardar. Para este caso dejamos la que índica por defecto el asistente. En caso de que se desee cambiar el destino damos clic en Examinar. Procedemos a dar clic en Siguiente.

El asistente nos dice que está preparado para la instalación y por consiguiente damos clic en Instalar y esperamos a que termine el proceso de instalación.

Esperamos que el proceso de instalación se ejecute completamente.

Ya finalizada la instalación damos clic en Finalizar para salir de dicha instalación.

Es de gran importancia tener en cuenta que para el funcionamiento del SDM, debemos tener previamente instalada la aplicación JAVA 5.0 e Internet Explorer 6.0 ya que son requerimientos de esta aplicación.

9. PRUEBAS DE CONECTIVIDAD

Como siguiente paso nos dirigimos a probar la conectividad entre las diferentes redes y sus diferentes puertas de enlace, lo que valide que todas las interfaces están configuradas correctamente y el tráfico de los paquetes entrantes y salientes en cada una de las redes son recibidos exitosamente. Para ellos probaremos desde cada máquina a su respectivo Gateway (Router) y luego entre las diferentes máquinas. Las pruebas de conectividad se ejecutan utilizando el comando “ping” en una terminal o línea de comandos; en el caso del Router se efectúa en la consola en modo privilegiado.  WINDOWS XP - GATEWAY

 R3 – RED LAN

 SERVIDOR LAN - GATEWAY

 SERVIDOR LAN - WINDOWS XP

10. ACCESO AL SDM 10.1 Router 3 (192.168.150.9)

En el menú de inicio se crea un acceso directo para acceder a la interfaz administrativa del Router, para ello damos doble clic en el icono o clic derecho Abrir e inmediatamente nos aparece una ventana del Aplicativo Cisco.

Esta ventana nos dice que el SDM se abrirá con el explorador por defecto, como siguiente paso especificamos la dirección IP del Router (GW), en este caso la del Router que está conectado a la Red LAN y damos clic en Iniciar.

A continuación se abre el explorador mostrando una ventana que nos pide el usuario y contraseña configurada anteriormente en el Router, editamos las credenciales requeridas y damos clic en Aceptar.

Para más seguridad, si las credenciales son correctas, nos aparece otra ventana del aplicativo Java para autenticarnos nuevamente con el usuario y la contraseña y damos clic en “SI”.

Inmediatamente se abre la Aplicación Cisco Router and Security Device Manager (SDM); esperamos que la configuración del SDM se cargue completamente y así podamos administrar el Router por este medio gráficamente.

Como se muestra en la siguiente imagen nos aparece una interfaz grafica de administración del Router 3, la cual nos brinda información básica del Router, damos clic en la pestaña “Configurar”.

Aquí podemos observar la configuración hecha anteriormente en el Router, damos clic en Interfaces y configuraciones para visualizar nuevamente el estado de cada una y su direccionamiento IP.

11. NATEO - ENMASCARAMIENTO

El Router 3 tiene la salida a Internet, ya que tiene directamente conectada una interfaz en la red 192.168.10.0 (eth2), que es la de la RED WAN, que es la de la DHCP. La configuración del Nateo permitirá que cada una de las maquinas tenga la salida a la red pública y tengan acceso a Internet, es por ello que cada vez que los equipos requieran navegar la dirección IP privada será cambiada por la dirección IP publica que haya obtenido el Router (Enmascaramiento) para que en el exterior las redes internas no sean visibles. Nos dirigimos a la opción “NAT”, seleccionamos “NAT avanzada” y damos clic en “Iniciar la tarea seleccionada” para iniciar esta configuración.

Nos parece una asistente para la configuración, este primero nos da un mensaje de bienvenida dándonos una breve introducción de lo que nos ofrece esta opción. Después de haber detenidamente esto, damos clic en Siguiente.

A continuación debemos seleccionar la interfaz por la cual estamos directamente conectados a Internet (Proveedor de Servicios de Internet), también nos ofrecen una breve explicación de lo que debemos hacer o tomar en cuenta, en este caso es la interfaz fastEthernet0/0 y damos Siguiente para continuar.

Ahora especificamos las redes (Direcciones IP) que necesitan tener acceso a Internet, es decir, la redes internas. Por defecto éste toma la red LAN; la seleccionamos tal cual como se muestra en la imagen y damos clic en Siguiente.

La configuración del NAT se encuentra basada en la traducción de direcciones IP para salir de una red privada a una pública o viceversa. Para añadir las direcciones públicas para servidores que a su vez permitirá que la RED LAN pueda hacer uso de los servicios de la RED WAN (Internet). Damos clic en Agregar…

Agregaremos las reglas de traducción de direcciones, indicamos la dirección IP privada de la máquina LAN que posee los servicios (192.168.150.7), la dirección IP pública la cual está indicada por la interfaz del ISP (Proveedor de Servicios de Internet), el tipo de servicios al cual se va a acceder en este caso Servidor Web y el puerto original que éste utiliza (80). Damos clic en Aceptar.

De igual forma seguimos agregando los demás servicios, en este caso para el DNS se especifican los mismos parámetros a diferencia de que el tipo de servicios es “Otros” ya que en las opciones que la lista desplegable contiene no está el servicio DNS. Como puerto original y traducido indicamos el 53 y el protocolo TCP. Esta regla se debe realizar nuevamente con el mismo servicio y puerto pero variando de protocolo (UDP) ya que el DNS trabaja con ambos tipos de protocolos. Damos clic en Aceptar.

Ya agregados cada uno de los servicios podemos ver la dirección IP privada del servidor con su respectivo puerto y la Dirección IP pública (Interfaz) con el puerto del cual se quiere hacer uso. Como podemos ver para el servicio FTP también se agregan dos reglas indicando los puertos 20 y 21; para el SMTP el POP3, el IMAP y el HTTPS se realiza el mismo procedimiento que el Servidor Web. Damos clic en Siguiente.

Por último el asistente nos muestra un resumen de lo que hemos hecho y damos clic en Finalizar

Aparece una ventana informando el estado de los comandos que se están enviando al Router después de haber hecho esta configuración, cuando termina de cargar damos clic en Aceptar.

Como podemos ver en la siguiente imagen, si damos clic en la pestaña Configurar – NAT – Editar configuración NAT (Actualizar) se listarán cada una de las reglas creadas indicando las interfaces internas (FastEthernet0/1) y las externas (FastEthernet0/0). Para agregar nuevas reglas podemos dar clic en el botón Agregar…, para editar en el segundo botón y en el tercero para eliminar.

12. CONFIGURACIÓN DEL FIREWALL (CORTAFUEGOS)

Es de gran importancia tener presente que cuando una Intranet va a publicar servicios en Internet u otras redes; una solución perimetral como el Firewall cumple un papel muy importante ya que filtra por medio de reglas los paquetes que no tienen un origen o destino correcto y deja pasar los que cumplen con los parámetros previamente especificados. Para configurar un Firewall en el Router, nos dirigimos a la pestaña Configurar – Firewall y ACL (Listas de Acceso) – Crear firewall, seleccionamos Firewall básico (Ya que no haremos uso de una DMZ (Zona desmilitarizada)) y damos clic en Iniciar la tarea seleccionada.

Inmediatamente nos aparece un asistente que nos permitirá crear el Firewall Básico. Este da una breve explicación de las ventajas y funciones que éste presenta al momento de ser implementado. Damos clic en Siguiente para continuar.

A continuación debemos especificar las interfaces del Router (Interna - Externa). Para la Interfaz externa (no fiable) seleccionamos FastEthernet0/0 (Interfaz WAN) y en Interfaces internas (fiables) seleccionamos FastEthernet0/1 (Interfaz LAN). Damos clic en Siguiente.

El Asistente nos muestra una alerta indicando que no podemos iniciar el SDM desde las interfaz externa hasta que finalice el proceso. Damos clic en Aceptar.

Luego el SDM informa que hay una regla para examinar la interfaz externa (SDM_LOW). Damos SÍ para eliminarla.

El Asistente nos muestra un resumen de las reglas que va a crear automáticamente (filtros) en cada una de las interfaces, damos clic en Finalizar.

Ya que anteriormente configuramos el NAT, el asistente nos indica que si deseamos que el SDM modifique el Firewall de tal modo que no afecte la configuración del nateo existente. Damos clic en Sí.

SDM detecta que se ha configurado un cliente DHCP en la interfaz externa, damos clic en Sí para que el aplicativo permita que el tráfico DHCP circule a través del firewall.

Aparece una ventana informando el estado de los comandos que se están enviando al Router después de haber hecho esta configuración, cuando termina de cargar damos clic en Aceptar.

Terminada la configuración del firewall, el asistente nos notifica que la implementación fue correcta. Damos clic en Aceptar.

Nos dirigimos a la pestaña Configurar – Firewall y ACL – Editar política de firewall/Lista de control de acceso, seleccionamos las interfaces de acuerdo al tráfico que queremos identificar, en este caso desde la interna hacia la externa (tráfico de origen) damos clic en Ir. Como podemos ver, se está denegando desde un origen y destino cualquiera el servicio IP y desde la dirección de loopback hacia cualquier destino el mismo servicio. Como política por defecto se encuentra en permitir.

Procedemos a verificar las reglas del tráfico de vuelta para las mismas interfaces, damos clic en Ir. Como podemos ver todas las reglas se encuentran en permitir desde cualquier origen hacia cualquier destino para los servicios WEB, SMTP, DNS, POP3, HTTPS y el FTP. Se encuentra denegado el acceso desde el origen 192.168.150.0/24 por el protocolo IP.

Algunas de las reglas como se muestra en la imagen se encuentran en denegar para algunas direcciones IP y la regla por defecto está en DENY.

Observamos el Tráfico de vuelta que debe indicar de extremos a extremo los mismos filtros.

Verificamos las reglas con dirección de la interfaz externa hacia la interna como tráfico de origen y efectivamente son las mismas reglas variando en algunos casos su origen y destino. La finalidad principal de estos filtros es publicar desde la red LAN los servicios especificados hacia cualquier red, permitir el acceso a Internet desde la red interna y denegar todo lo demás.

Utilizando la dirección de externa a interna observamos los filtros para el Tráfico de vuelta.

13. PRUBAS DE CONECTIVIDAD – REDIRECCIÓN DE PUERTOS

Anteriormente habíamos dicho que el Servidor LAN máquina tiene algunos servicios instalados, es por ello que con el comando “netstat -antp” podemos verificar todos los servicios que están corriendo en el servidor.

Para verificar que la redirección de puertos se configuró correctamente y que la RED_WAN puede acceder a los servicios de la RED_LAN, nos dirigimos a una máquina que se encuentre dentro de la red externa (DHCP – 192.168.10.134) e ingresamos al navegador Web. Es importante tener claro que la dirección que nos va a redireccionar a la LAN es la IP pública que tiene la interfaz de la RED WAN ya que en el exterior no deben tener conocimiento de la IP privada de la organización.  HTTP - HTTPS Estando en el navegador ingresaremos con la dirección IP del servidor para probar el ingreso a la página Web. Utilizamos el protocolo HTTP para el modo no seguro y luego el HTTPS para que la comunicación sea cifrada y este respaldada por un certificado digital.

Al momento de conectarnos utilizando el protocolo HTTP seguro (HTTPS) éste nos pide confirmación sobre la confianza de dicho sitio ya que no contamos con un Certificado Digital instalado en el Navegar que valide dicha página. Para este caso damos clic en el boton Añadir excepciones para poder ingresar al sitio.

 FTP Para acceder al Servicio FTP también podemos ingresar en la barra de direcciones de algún directorio del sistema de archivos dando Ctrl + L y digitamos la URL ftp://192.168.10.134 (IP Pública); inmediatamente seleccionamos en la ventana Conectar como usuario, éste nos pedirá que digitemos el log in de usuario, damos clic en Conectar y cómo podemos ver éste nos muestra el directorio y los archivos que éste contiene. Par ver el archive documento.txt que se encuentra publicado damos clic sobre él para visualizar su contenido.

 SMTP Para probar la funcionalidad y conectividad al servidor de correo utilizamos en la terminal el comando “telnet + dirección IP pública + puerto del servicio SMTP” lo cual nos permitirá conectarnos remotamente al servidor de correo. Efectivamente éste nos responde con el nombre completo de la máquina “mail.eriku.com”; para ver las opciones que podemos utilizar en dicha conexión le indicamos al servidor la utilización del mismo a partir de un saludo “EHLO mail.eriku.com” y éste nos listará las opciones. Para salir de dicha conexión ingresamos el comando “exit”.

 POP3 E IMAP La utilización y conectividad al servidor POP3 e IMAP se ejecuta de igual forma que el servicio SMTP a diferencia que el puerto en este caso es el perteneciente al servidor POP3 (110) e IMAP (143). Dicha conexión nos responderá de acuerdo a la plataforma en el cual este implementado, en este caso “+OK Dovecot ready”.

14. ACCESO A INTERNET DESDE LA RED INTERNA

Como podemos ver a continuación cada una de las maquinas de la red LAN1 y LAN2 tiene acceso a Internet sin necesidad de tener una interfaz de red conectada directamente a Internet.

CONCLUSIONES

 Los firewalls son parte esencial de cualquier solución de seguridad en redes y para proporcionar la máxima protección contra ataques, a la vez que permiten soportar aplicaciones innovadoras, es importante que estos equipos actúen como parte de una plataforma integral de seguridad. En definitiva, un firewall es un complemento al resto de medidas corporativas que se han de tomar para garantizar la protección de la información y que han de contemplar no solo los ataques externos, sino también los internos, que puede realizar el propio personal, así como todas aquellas aplicaciones que están instaladas y que pueden tener posibles entradas a intrusos.  El aplicativo GNS3 permite emular la existencia de un enrutador entre dos redes (RED LAN – RED WAN) y conectar a través de este ambas nubes de la infraestructura. La administración de dicho Router se puede realizar de forma práctica utilizando el software SDM de forma gráfica utilizando un Certificado Digital y un Servicio Web que le permita al usuario interactuar con los dispositivos activos en una plataforma diseñada para la administración de los mismos. La utilización de máquinas virtuales admite la realización de pruebas antes de la implementación y montaje en un ambiente productivo.

BIBLIOGRAFÍA

     

https://cursos.redsena.net http://es.wikipedia.org/wiki/Gns3 http://es.wikipedia.org/wiki/Network_Address_Translation http://www.cisco.com/en/US/products/sw/secursw/ps5318/index.html http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29 http://es.wikipedia.org/wiki/Java_%28lenguaje_de_programaci%C3%B3n%29