Professional Documents
Culture Documents
NETWORKINGROUP
INTRODUCCION.
Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a informacin confidencial. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Para permitir o denegar una comunicacin el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo. Dependiendo del servicio el firewall decide si lo permite o no.
MARCO TEORICO
FIREWALL
Un Firewall como su nombre lo dice es un "muro de fuego" este tiene la funcin de realizar un filtrado de paquetes hacia los diferentes destinos valindose de reglas configuradas a nuestro gusto. Es decir que si no queremos que a el Equipo A le lleguen paquetes de ningn equipo, del tipo TCP con puerto de origen 80 configuraremos dicha regla en el Firewall para que esto se filtre. Existen varios tipos de Firewall y varias maneras de definirlos, por ahora nos centraremos en que existen Firewall de Host y Firewall de Red. Un Firewall de Host es con el que contamos en nuestros equipos, el que viene de manera nativa en nuestro Sistema Operativo como lo son las IPTABLES en Linux o el Contrafuegos de Windows y solo filtra paquetes desde y hacia nuestro equipo y un Firewall de Red es el que se puede instalar en dispositivos como routers para filtrar todo el trafico que circule a travs de el desde y hacia las diferentes subredes.
PROXY
Es un programa o dispositivo que realiza una accin en representacin de otro, esto es, si una hipottica mquina A solicita un recurso a una C, lo har mediante una peticin a B; C entonces no sabr que la peticin procedi originalmente de A. Su finalidad ms habitual es la de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc.
VPN
Una red privada virtual, RPV, o VPN de las siglas en ingls de Virtual Private Network, es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet. Ejemplos comunes son la posibilidad de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet, permitir a los miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.
VPN de acceso remoto Es quizs el modelo ms usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etctera) utilizando Internet como vnculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con estatecnologa su infraestructura dialup (mdems y lneas telefnicas). VPN punto a punto Este esquema se utiliza para conectar oficinas remotas con la sede central de la organizacin. El servidor VPN, que posee un vnculo permanente a Internet, acepta las conexiones va Internet provenientes de los sitios y establece el tnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, tpicamente mediante conexiones debanda ancha. Esto permite eliminar los costosos vnculos punto a punto tradicionales (realizados comnmente mediante conexiones de cable fsicas entre los nodos), sobre todo en las comunicaciones internacionales. Es ms comn el siguiente punto, tambin llamado tecnologa de tnel o tunneling.
FIREWALL
En la pestaa de network al lado derecho escogemos la topologa con la que vamos a trabajar en mi caso voy a tener LAN,DMZ y WAN
Seleccionamos la DMZ
La poltica de nuestro firewall ser de denegar por defecto para mayor seguridad
Procederemos a configurar las reglas de NAT en la pestaa de networks y network rules, las reglas que no me sirven las elimine, clic derecho sobre el permetro (DMZ) y configurar
Ahora procederemos a configurar las reglas del firewall Create Access rule
Allow (permitir) recordemos que estamos trabajando con denegar por defecto
HTTP Y HTTPS
External y Perimetro
Y Finalizamos
Asi quedaron todas las reglas HTTP, HTTPS, SSH, ICMP, DNS, DHCP, IMAP, IMAP4, POP3, POP3S Los permit con su respective regla
Procedemos a la configurar de DNAT Para que nuestros servicios salgan a internet los publicaremos, en la pestaa del lado derecho publish Non-Web Server
Por el puerto 80
Nuestra tarjeta de salida ser la externat (WAN) que es por donde vamos a entrar al servicio
Y finalizamos
Podemos ver la regla como quedo, asi publicamos todos los servicios que queramos que nuestros clientes se conecten va WAN
VPN
Procedemos a crear un grupo y usuarios
Creamos el grupo
Creamos el usuario
Y lo Creamos
Procedemos a configurar las opciones para la creacin de una VPN, primero configuraremos el mtodo de asignacin de direcciones
asignaremos En la pestaa de address assignment le asignaremos el pool de direcciones, asignamos un rango diferente a el peremitro y a la interna
El rango de direcciones
Y agregamos la vpn
Crearemos una regla de firewall que permita el acceso a los clientes VPN
Finalizar
Procedemos a configurar la ultima pestaa view network rules para que traduzca las direcciones publicas a las internas.
Y Finalizamos
Siguiente
Y la IP a la que nos vamos a conectar que es la ip publica donde esta nuestra VPN
Y Finalizamos
En la pestaa de funciones de red, le expecificamos que ser una red privada virtual (VPN)
Y le damos aceptar
De inmediatamente nos abre la ventana para conectar con el usuario que contrasea creamos y la contrasea
Y podemos ver el rango de direcciones que le asignamos que significa que ya estamos conectados a nuestra VPN
PROXY
Procederemos habilitar el servidor proxy en la LAN
Ahora vamos hacer filtro por usuarios del sistema, para que un usuario vaya a navegar se tenga que autenticar, para esto crearemos un usuario y un grupo en administracin de equipos
Usuario Nuevo
Creamos el usuario
Procedemos a especificar conexiones a internet por autenticacin, lo definimos en la regla HTTP en propiedades
Y Nuevo
Procedemos a crear un grupo con los usuarios que creamos para la autenticacin
Elegimos el lugar donde estn los usuarios en nuestro caso usuarios y grupos del sistema
Buscamos los usuarios con el que se van autenticar los usarios en mi caso a modo de ejemplo trabajare con uno solo
Y Finalizamos
Agregamos el grupo de los usuarios que son los que se van autenticar
Procedemos hacer pruebas desde nuestra LAN y podemos ver que nos pide autenticacion.
Ahora Proceder a filtrar Por URL debemos crear una regla de firewall y las Urls a denegar, en el lado derecho New Url Set crearemos el conjunto de urls
Y Finalizamos
Ahora Proceder a filtrar por extensin que ser que no puedan descargar paquetes con extensiones (.exe, .zip) Tambin lo configuraremos en la regla de HTTP
Seleccionamos la pestaa de extensions y especificamos que nos bloquee las extenciones a descargar y agregaremos dichas extensiones a nuestro gusto
A modo de prueba intente descargar putty que tiene como extensin .exe
Ahora proceder a filtrar por palabras que es bloquear especficamente un tipo de palabras por decir porno que los filtre cuando tenga esta palabra
Procedemos hacer pruebas y podemos ver que nos deneg por palabra (porno)
Ahora proceder a filtrar por IP es denegar por IP al acceso de una pgina, debemos hacer es especificar la ip y despus crear una regla en el firewall
Especificamos la interfaces
Y Finalizamos
Procedere a filtrar por tiempo, en un tiempo especifico que los usuarios puedan navegar o que los deniegue,tambin la aplicaremos en la regla del HTTP
Especificaremos la hora en mi caso de 10 a 11 y todos los das para denegar todo el acceso
Y Procedemos hacer pruebas y podemos ver que la hora es las 10 y nos deneg por tiempo.
Ahora proceder a filtrar por dominio que ser bloquear todos los dominios que no queremos que naveguen, deberemos de crear un conjunto de dominios a navegar y tambin crearemos una regla en el firewall
Y Finalizamos
Acceso web con autenticacin. Denegacin por URL. Denegacin por Dominios. Denegacin por palabras. Denegacin por IP. Denegacin por extensin. Denegacin por tiempo
Proxy trasparente.
Ahora Proceder a que nuestro proxy sea transparente es decir que no lo reconozca automticamente y no lo tengamos que colocar manualmente, agregare un registro a nuestro servidor DNS con el nombre de nuestra maquina, en mi caso tengo mi servidor en Linux- Centos entonces nos paramos en la zona directa agregaremos los registros WPAD que apuntara a la direccin IP del ISA
en la pestaa auto discovery habilitamos nuestras proxy trasparente y le especificaremos que el puerto sea el 80
Ahora vamos a opciones de internet en el browser de nuestro cliente y lo colocamos detectar automticamente (Transparente) y aceptamos