You are on page 1of 18

DISEO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL PARA UNA EMPRESA USANDO LA HERRAMIENTA PFSENSE

PABLO BARRERA 0152793 YANETH CHAPETA 0152714

MATERIA SEGURIDAD INFORMATICA DOCENTE: JEAN POLO CEQUEDA

FACULTAD DE INGENIERA DE SISTEMAS UNIVERSIDAD FRANCISCO DE PAULA SANTANDER 2013

PFSENSE

PfSense es una distribucin basada en FreeBSD, derivada de m0n0wall. Su objetivo principal es tener un Firewall fcil de configurar, a travs de un interfaz amigable con el usuario y que se pudiera instalar en cualquier PC, incluyendo PCS de una sola tarjeta. Se trata de una solucin muy completa, que esta licenciada bajo BSD lo que significa que es de libre distribucin. OpenBsd considerado el sistema operativo ms seguro del mundo tiene presente packet filter (PF) (filtro de paquetes sistema de OpenBsd para filtrar el trafico tcp/ip proporciona adems control de ancho de banda y priorizacin de paquetes.) como estndar desde noviembre de 2004.

La descarga del software de la pagina oficial http://www.pfsense.org/ Se descargo la versin 1630.iso pfSense-LiveCD-2.0.2-RELEASE-i386-20121207-

Lo primero que se hace es crear la maquina en virtualbox, se configura la memoria ,el archivo para el inicio , las tarjetas de red obtenindose la imagen:

se configuran la interfaces. Se decide cual tarjeta se usara

se establece la wan y lan, se le colocan las respectiva ip.

Terminado esto se procede a la instalacin . cuando se termina la instalacin elimina el archivo usado (instalacin del programa ) y se establece el disco de inicio, posteriormente cargo el explorador y en el escribo la ip fijada para la lan. Cargara una imagen como la que se aprecia en la cual se pide la clave admin y el password pfsense

nos sale posteriormente la interfaz para configurar

antes de hacer configuraciones es optimo bajar los paquetes que se adecuen a las necesidades. Configuracin del firewall

Bloquear facebook con firewall: Ingresa a la configuracin, poniendo en el navegador la direccin https://192.168.1.1 (si la has cambiado sustituye la IP por la que corresponda), y luego acepta la advertencia de seguridad.

el men Firewall entra a RuleS

Presiona el botn datos: Action: Block

para agregar una nueva regla, en la pagina ingresa estos

Protocol: TCP/UDP Source: any (si quieres bloquear slo ciertos host selecciona LAN Address o Network, o slo desbloquear tu equipo marcando el checkbox Not e ingresando tu IP. Destination: selecciona Network como type y en Address cada rango. Hay que crear una regla por cada uno:

65.201.208.24/29 65.204.104.128/28 66.93.78.176/29

66.92.180.48/28 67.200.105.48/30 69.63.176.0/20 69.171.224.0/19 74.119.76.0/22 204.15.20.0/22 66.220.144.0/20 173.252.64.0/18 66.199.37.136/29 Destination port: From: any To: any Description: nombre para identificar la regla. Esto se hace con cada regla.

SERVICIOS Bloqueo de sitios web anulando entradas de DNS En la web de documentacin de pfSense , te indican que para bloquear el acceso a una web se puede hacer por distintos mtodos: 1. Usando DNS 2. Usando reglas del Firewall 3. Usando el proxy con filtro de contenido Squidguard

4. Previniendo saltarse el bloqueo por proxy Prevent Bypassing of Blocking: con servicios como OpenDNS

1: Usando DNS. Para ello debes tener activo el servicio DNS Forward en pfSense El servicio DNS Forward hace las funciones de proxy cache para las consultas y resoluciones DNS, por lo que en tus clientes de la LAN deben de apuntar como nico servidor de DNS la ip LAN del firewall pfSense Y por supuesto debes tener configurado uno o dos servidores DNS en tu pfSense. Para bloquear la web www.google.com: En la gui de administracin de pfSense > Services > DNS Forward

Aades un registro al final (Domain IP ) que haga que www.google.com apunte a una ip no valida (como por ejemplo 169.254.x.x o 127.0.0.1 o 127.4.5.6)

Se guardan y aplican cambios .

Para las pruebas comprobamos si se resuelve www.google.com desde un host de la LAN, por ejemplo desde un win, haciendo un nslookup a www.google.com

Esta tecnica se podria usar en un windows aadiendo entradas incorrectas en el fichero:

%SystemRoot%\System32\drivers\etc\hosts
Por defecto un windows resuelve un dominio o nombre de hosts consultando antes este fichero que haciendo una consulta al servidor dns. Y de hecho los bad boys usan esta sencilla tcnica de modificar el fichero hosts para hacer un spoofing de dns y redirigir el trafico del pc de la victima desde una web aparentemente legitima a una falsa. reglas de filtrado de capa de aplicacin o capa 7 pfSense identifica trfico de capa 7 (capa de aplicacin) del modelo OSI.

En lugar de determinar el filtrado basndose en el puerto de origen y destino, se identifica un stream (flujo de datos) basndose en su contenido (tambin llamado inspeccin profunda de paquete deep packet inspection). Este mtodo trabaja observando el contenido de los paquetes y no solo los encabezados (headers) Si alguien instalara un cliente/servidor VNC no usara el tcp5800/5900, con lo que mediante una regla de filtrado a esos puertos no bastara para impedir el uso de un reverse VNC va tcp80,tcp443. Y es aqu donde entran en juego las capacidades de deep packet inspection de pfSense.

Vamos grupo de reglas de capa 7).

al

men Firewall Traffic Shaper Layer 7 >Create new l7 rules group (Crer un Habilitamos Layer 7 Container, le damos un nombre y descripcin y aadimos las reglas, en definitiva los protocolos que deseamos bloquear, en este ejemplo: vnc, ares, bittorrent, ciscovpn y citrix .Con Salvamos (save) y aplicamos cambios. Ahora creamos una regla del firewall ( men Firewall > Rules ) para un interfaz determinado (Wan, lan, DMZ, ). la accin block.

Donde se define si se permite (pass) o se deniega, el origen ( ip o red rango de puertos) y el destino (ip o red rango de puertos) y si se activa el log. Ms abajo podemos definir el OS (sistema operativo) de origen del paquete a filtrar que est permitido.

Tambin se puede definir el mecanismo de seguimiento de estado del flujo de datos, normalmente keep-state (para una regla a ciertos proxies conviene synproxy-state). Y entre otras opciones, al final aparece el apartado Layer 7 (capa 7), donde decidimos si a esta regla le aplicamos el deep packet inspection segn el grupo de reglas de capa 7 que elijamos, previamente ya definido (en este ejmplo el grupo de capa 7: My7Rules, anteriormente creado).

SquitGuard: firewall con posibilidad de filtrar paginas Primero hay que instalar el paquete La instalacin dura unos minutos,

Luego damos click en la pestana serviciosProxy filter

Habilitar el servicio y logs

Damos click en opcin download

la

En common ACL definimos reglas dndole click al botn verde En forma de play.

Habilitamos las reglas de la siguiente forma: Whitelist permite siempre Deny bloquea Allow permite siempre y cuando no este bloqueada por otra regla

Siempre que hagamos un cambio, debemos regresar a la pestaa General settings y darle click al botn Apply para que tome el cambio. Activamos las ips que queremos no sean filtradas en el DHCP server en la pestaa LAN, estas no pueden estar en el rango que se entrega.

Aca observamos como funciona el squidGuard